Struts2が危険である理由
はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月(およそ3年前)に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成
Strutsの脆弱性情報公開により影響を受けたと思われる製品・サービスをまとめてみた - piyolog
Struts関係で影響を受けたと思われる製品、サービスに関する情報をまとめます。なお、これら掲載している情報は一部推測を含むためご注意ください。 以下は2014/05/07時点の情報です。 影響が出た製品 ベンダ 影響有無 対象製品 NEC 影響なし*1 詳細はこちら 日立 影響調査中 詳細はこちら セゾン情報システムズ 影響あり HULFTクラウド NTTデータイントラマート 影響あり Intramartで一部設定項目が変更できる可能性 但し任意のコマンド実行やファイルの漏洩は不可 日本トータルシステム 影響あり GroupSession 影響が出たサービス 提供元 影響が出たサービス 停止日 再開日 理由 対応 運用ベンダ 総務省 政治資金関係申請・届出オンラインシステム − − Struts1使用のため。 4/25時点で対応確認中。 富士ソフト 国税庁 e-Taxソフト(Web版)
StrutsのClassLoader脆弱性はSAStrutsに影響しません - ひがやすを技術ブログ
Struts2に見つかった脆弱性と同様の脆弱性がStruts1系にも見つかりました。 Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 HTTP(S)のリクエストでJavaのClassLoaderのメソッドが呼び出せてしまうという脆弱性です。 もう少し噛み砕いて言えば、リクエストのパラメータをJavaBeansにセットする時に、リフレクションを使い、パラメータ名にaaa.bbb.cccのようなネストした名前をサポートしているフレームワークは同様の問題が起こる可能性があります。 パラメータ名をclass.classLoader.xxxのような感じにして、ClassLoaderのメソッドを呼び出す訳です。 このような問題を起こすリフレクションフレームワークで最も有名なのは、Apache Commons BeanUtilsです。リクエストのパラメータ
Strutsの脆弱性CVE-2014-0094について改めてまとめてみた - piyolog
Struts2においてクラスローダーの操作を許してしまう脆弱性(CVE-2014-0094)について先日調べたのですが、その後のセキュリティベンダの調査により当初に比べて影響範囲が変わってきていることから、再度整理をかねてまとめます。尚、これら情報はpiyokangoが全て検証したわけではないためご注意ください。また当然ながら悪用することは厳禁です。 Apache Software Foundationより、当該脆弱性情報に関するアナウンスが出ました。 24 April 2014 - Struts up to 2.3.16.1: Zero-Day Exploit Mitigation S2-021 クラスローダーが操作される脆弱性の影響範囲 NTT-CERTやMBSD、LACの調査により次のStrutsのバージョンが影響を受けることが判明しています。またBeanUtilsを使ってリクエスト
例えば、Strutsを避ける
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
2014年度版 Eclipse + Struts2 による Java Web アプリ開発入門 | CYOKODOG
オラクル管理下になって以降めっきり話題が減った感のある Java ですが、最近、隣の席の新人 SE さんが研修で Struts2 ベースの Web アプリを構築をしてるようで、時々質問を受けたりします。Java と言えば Struts に次ぐ定番フレームワークが長らく待望されてましたが、結局どうなったのでしょう? Struts の冠のある Struts2 がネーミング的には有利な気もするので便乗して勉強してみることにしました。 開発環境の準備 32ビット版 Windows 環境に開発環境を構築します。次のものを準備します。 Eclipse Kepler(4.3) Pleiades(Eclipse の日本語化プラグイン) JDK(Java SE 7u51) Tomcat(7.0.50) Struts2(2.3.16) Eclipse 4.3(Kepler)の導入 http://www.ecl
Enhanced SAStruts Blank - jfluteの日記
SAStrutsのプロジェクトを作りたい! と、思ったときに、 色々とツールがあります。 が、ちょっとピンポイントな環境で、 そして、最初から気の利いた設定ファイルが、 でもって、最初から気の利いたクラスが... って用意されている環境が欲しいなぁと。 具体的には: o Maven (M2E) でビルドできる環境 o Jetty で開発できる環境 o 良い感じのデバッグログのためのフィルター o コンテナ起動時のエラーをLog4jでキャッチ o dicon たちの見た目がわりと綺麗 o log4j.properties がわりと綺麗で実践的 o pom.xml がわりと綺麗で実践的 とまあ、ざっとこんな環境。 最近は、フォローイングのお仕事が多いですが、 いざアドバイスや分析をしようにも... 「ログがあまりに貧弱でささっと追えない!」 「もう設定ファイルが見づらくてわけわか!」 というこ
不正アクセス(JINSオンラインショップ)に関する調査結果(最終報告)| JINS - 眼鏡(メガネ・めがね)
平成25年3月15日「不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び」でご報告いたしました当社オンラインショップに対する不正アクセス(以下、「本件不正アクセス」といいます。)により、お客様をはじめとする皆様に多大なるご迷惑およびご心配をおかけしましたことを深くお詫び申し上げます。 当社は、事案発覚直後より、逐次最新情報をご報告させていただいておりましたが、この度、当社、専門調査機関および情報漏えい事故調査委員会による本件不正アクセスに関する一連の調査が終了いたしましたので、下記のとおりご報告させていただきます。 なお、本件不正アクセスに関するお客様へのご対応および再発防止に対する取り組みについては引き続き行ってまいりますが、本件不正アクセスに対する調査結果につきましては、特段の報告事項が発生しない限り、下記をもって最終報告とさせていただきます。 当社は、自社が運営する「J
Struts 1が寿命を迎える
Apache財団の発表によれば、JavaのMVCウェブフレームワークであるStruts 1が寿命を迎えた。ある意味では、この動きは単純に、Strutsチームがバージョン2の開発に注力しているという既成事実を公式に認めただけだ。Struts 1の最後のリリースは2008年のバージョン1.3.10だ。コードとドキュメントは今後も入手できるが、今後はセキュリティパッチやバグ修正は提供されない。FAQによれば、"...既存のStruts 1にパッチを当てるか、他のウェブフレームワークに移行するかして、対処する必要があります"。別の言い方をすれば、Struts 1で作られたアプリケーションやウェブサイトを新しいフレームワークに移行する差し迫った必要があり、新しいプロジェクトでStruts 1を使うのは推奨されない、ということだ。 Struts 1はCraig McClanahan氏が開発し、2000
Struts 1.x のサポート終了・早急に移行手段の検討を: ある SE のつぶやき
Struts 1が寿命を迎える Apache 財団の発表によると、2013年4月15日をもって、Struts 1.x のサポートが終了になったとのこと。今後は、機能追加も行われないし、セキュリティパッチも提供されません。 新規プロジェクトでは、Struts 1.x を採用しないように勧めています。 Struts 1.x のサポート終了は時間の問題だったのかもしれませんが、突然サポート打ち切りのアナウンスが行われたことは大きな影響があります。 一時期、Java で Web アプリケーションを構築する場合は、Struts 1.x を採用するのがデファクトスタンダードだった時があります。その時に作成された Web アプリケーションは非常に多くあるでしょう。 今回のサポート打ち切りのアナウンスは、Struts 1.x を採用した Web アプリケーションの開発・運用計画に大きな影響があります。緊急
いろんなJava Webフレームワークで同じ画面を作ってみる(Index) - よしなしごと
11夜連続企画(できなかったらすみません)。 いろんなJava Webフレームワークで同じ画面を作ってみます。 まぁ、よくある足し算プログラムです。 題材 足し算プログラム 計算結果は、別画面に遷移し出力する。 submit時にリクエストパラメータ名称で処理を切り分けるパターンを検証。 バリデーションは、必須チェックと整数チェック。 エラーメッセージは、一括で出力するパターンと、フィールド毎に出力するパターンを試す。 DBアクセスはないよ。 取り上げてみるフレームワーク 以下、記事へのリンクになってます。 Slim3 Struts1 Struts2 SAStruts Teeda(JSF) Spring MVC 3.0 Stripes Cubby2 Click Wicket Mojarra(JSF2) T2framework(追加) Play!(追加) Ninja (追加) そして、総括。
いつまでStruts1を使い続けるの? - 達人プログラマーを目指して
営業支援で提案中の案件があるのですが、現状CGI+Perlで作られているコンシューマー向けサイトがあるが、 CGIなので性能が悪い コンテンツの修正が大変なのでMVCできちんと作りたい 実績のあるJavaとStrutsをメインに検討している とのことです。今時多くのコンシューマー系のサイトで、コンテンツの管理を容易にしたいならオープンソースも含めてPHPベースのCMSが星の数ほどあるという事実はおいておくとしても、とにかく、実績重視ということでStrutsということになってしまうのでしょうか?お客様もMVCなど相当技術を勉強されていることは感心なのですが、JavaのMVCフレームワークというとStrutsしか考えないというのは問題ではないのでしょうかね。多くのStrutsベースの既存システムを自社で抱えているなどの理由があるのであれば、それも一つの選択なのかもしれませんが、実績重視とか社内
【ハウツー】Struts1系経験者のための「Struts2.1入門」 (1) Struts2.1の構造 | エンタープライズ | マイコミジャーナル
情報が少ないStruts2.1 現在、当たり前のようにシステム開発で利用されているSpringFrameworkやHibernateなどのオープンソース・フレームワーク。それらオープンソース・フレームワークの先駆けとなったStrutsは、クレイグ・マクナラハンがビーチサイドで原案を書き上げ、バージョン1.0として公開されてから、今年で早くも10年が経とうとしています。そして約10年を経てもなお、Strutsは開発者からの衰えない人気を保っています。 しかし、国内でのStruts人気は、最初に発表されたStrutsの系譜を引き継ぐバージョン番号に1を冠するStruts1系に対するものであり、WebWork2と合体したバージョン番号に2を冠するStruts2系の人気は今ひとつないように思えます。最近では、Struts2系の最新バージョン2.1.6も発表され、Struts1系よりも随分と簡単に便
連載: IBM Watson Workspace #鬼わか アプリケーション開発: 第 7 回: IBM Watson Workspace で AI を利用したアプリ連携の実現 #鬼わか 解説(前編)
第10回 Spring&Struts連携のベスト・プラクティスはこれだ!
株式会社NTTデータ関西 法人ソリューション事業部所属。Struts/Springを利用したフレームワーク開発,プロジェクト支援に携わる。最近は,.NETを利用したフレームワーク開発に携わる。 本稿では,Springから提供されているStruts連携について解説します。Strutsは,画面遷移などをサポートするSpringMVCと同じプレゼンテーション層のフレームワークです。 Springでは,Strutsと連携する方法として,4つのパターンを提供しています。利用者としては,結局どの方法を利用すればよいのか悩むところではないでしょうか? また,すでにSpringとStrutsを連携している人にとっては,本当に今の方法が最適なのかどうかを不安に思っている人もいるのではないでしょうか? 本稿では,まず,根本的な部分として,なぜSpringが提供するSpringMVCではなく,Strutsを利用
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
2009/12/18 日記: Java: JavaServer Faces (JSF) を利用したリッチな Web 業務システム開発
Loading...