GMOペイメントゲートウェイ社(以下GMOPG)という、クレジット決済代行を取り扱う、 国内最大手の会社がクレジットカード番号を流出させたとして、 3/10以降大きく報道されました。 この事故から、我々エンジニアが学ぶべき事は何でしょうか? 発生した事象について CVE-2017-5638とはなにか ファイルアップロードにおけるマルチーパートヘッダーの解釈部分に脆弱性があり、 リモートコード実行(RCE)が可能な状態であったらしい 本投稿の趣旨から外れるので、詳しくは調べていません。 経緯・経過 3/6 脆弱性情報が公開されたらしい (Cf. Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について ) 3/8 IPAが情報を掲載 (Cf. Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)
![GMO社が被害を受けたStruts 2(CVE-2017-5638)問題で我々は何を学ぶべきか? - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/5aa45bcf3e707c5ff5c27204a12c0434704b8691/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBnYWt1cmkmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTQ2Y2I2MjU0ZDBiOWI4YmM1MzU0OTM0YmEwMDBkMTIy%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3D5feec7833555a30f8f70f8d411f5c007)