【Jakarta/Apacheウォッチ】第22回 緊急レポート---Strutsにクロスサイト・スクリプティング脆弱性:IT Pro11月末に,Strutsにクロスサイト・スクリプティングの脆弱性が報告された。今回は,この脆弱性についての原因と対策を紹介する。 Struts1.2.7を含むこれまでのリリースすべてに影響 報告されたクロスサイト・スクリプティング(以降XSS)に関する脆弱性はStruts1.2.7を含むこれまでのリリースすべてに共通したものだ。XSSについての詳細は(IT Proの解説記事)を参照していただきたい。 この脆弱性が利用された場合,Strutsで構築されたサイトを参照したユーザーが,被害に遭う可能性がある。具体的には,悪意のある第三者が記述した,Strutsで構築したサイトへのリンクをクリックした場合,ユーザーのファイルの削除や,情報漏えいなどの現象が発生する危険がある。ただし,この現象は特定のアプリケーションサーバー(およびWebコンテナ)でのみ発生すると,報告されている。 原因はSturt
