Struts 2の脆弱性でHTTPのContent-Typeヘッダーからリモートコード実行ができる理由

テクノロジーカテゴリーの変更を依頼記事元:

blog.ohgaki.net

11users がブックマークコメント

コメント

2

記事へのコメント2件

注目コメント
新着コメント

houyhnhm ほむ。Seasarも似たような穴あったりするのかな？

2017/03/15 リンク

mickn “「国際化（翻訳）用のメッセージ処理メソッドが、プログラミング言語のようにパースして実行する仕様」” って

2017/03/15 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

Struts 2の脆弱性でHTTPのContent-Typeヘッダーからリモートコード実行ができる理由

(Last Updated On: )Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)は HTTPプロトコルのC... (Last Updated On: )Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)は HTTPプロトコルのContent-Typeヘッダーでリモートからコード実行ができるという問題です。どうして「Content-Typeヘッダー」でコード実行ができたのか？気になったので調べたメモです。コード実行ができた理由は「国際化（翻訳）用のメッセージ処理メソッドが、プログラミング言語のようにパースして実行する仕様」であったことでした。気にしていないとこのパターンでリモートコード実行ができてしまうコードも在ると思います。 Struts2修正版（2.5.10.1）で変更された箇所バージョン番号やテストプログラム除く変更箇所は以下の部分です。 --- a/core/src/main/java/org/apache/struts2/intercepto

ブックマークしたユーザー

hirokts2018/04/19
shigeaki1jp2017/03/28
yuiseki2017/03/21
asakura-t2017/03/15
Hiro_Matsuno2017/03/15
houyhnhm2017/03/15
alcus2017/03/15
mickn2017/03/15
carme-264pp2017/03/15
localdisk2017/03/14

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

いま人気の記事 - 企業メディア

企業メディアをもっと読む

設定を変更しましたx