Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057) | アーカイブ | IPA 独立行政法人 情報処理推進機構

Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。 Apache Struts 2 には、以下の条件の両方を満たす場合に、リモートで任意のコードが実行される脆弱性(CVE-2018-11776)が存在します。 alwaysSelectFullNamespace を true に設定している場合 Struts設定ファイルに、オプションのnamespace属性を指定しないか、ワイルドカードネームスペースを指定する "action"タグまたは "url"タグが含まれている場合 本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。 本脆弱性を悪用する攻撃コードが公開されていますので、対策済みのバージョンへのアップデートをし

[tama1112]

またおまえか・・！

[ockeghem]

『本脆弱性を悪用する攻撃コードが公開されています/サポートされていない Struts のバージョンも影響を受ける可能性があるとのこと』

[webarata3]

“サポート終了している「Apache Struts 1」をご利用の場合は利用を停止し、早急に移行をご検討ください。”

[chess-news]

なんか、前もなかった？

[houyhnhm]

ベンダーがメンテしてるStruts1系がいる場合があるので注意。

[tetsutalow]

Struts2に遠隔から任意のコードが実行可能な脆弱性。既に悪用コードが公開されていることとStruts1にも影響するかもしれないあたりが厄介。

[yug1224]

Struts1 なら大丈夫！

[migrant777]

またStrutsかぁ・・・。