存在に気付かないふり? Struts
調査を行う過程で、稼働中と思われる探調TOOLを発見した。このURLを見て分かる通り、「.action」という拡張子が用いられている。これは慣習的に「Apache Struts」を用いるアプリケーションで指定される拡張子である。さらに、ソースコードを確認すると「struts」という文字列がパス指定でいくつか記載されていた。 これは断定ではないのだが……。 Apache HTTP Serverは10年ほど外部から改ざんを行えるような脆弱性、および攻撃コードがリリースされていない 原因となった探調ツールでは「.action」拡張子が使用されているページがある そのソースコードにはstrutsの文字列がパス指定で記載されている という理由から、探調TOOLでは脆弱性の影響を受けるバージョンのApache Strutsが利用されており、その脆弱性を突かれて、今回の事件に至ったのではないだろうかと考
ラックがApache Struts2の脆弱性を悪用した攻撃の急増を警告
ラックは7月18日、同社のセキュリティ監視サービス「JSOC マネージド・セキュリティ・サービス」において、Webアプリケーションを構築するためのフレームワークであるApache Struts2における脆弱性(S2-016)を悪用した攻撃が多数確認されたと発表、緊急事案と受け止め、注意喚起を行った。 同社によれば、2013年7月16日に公開された、Webアプリケーションを構築するためのフレームワークであるApache Struts2における脆弱性(S2-016)を悪用した攻撃が、2013年7月17日から急増しているという。 Apache Struts2を使用されているサイトの多くは、セキュリティアップデートの適用によるWebアプリケーションへの互換性問題が懸念されるため、互換性検証作業を行う都合で対策が遅れる場合が懸念されるという。 同社によれば、これまでもApache Struts2に関
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
