Apache Strutsに重大な脆弱性、直ちに更新を

2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。 Java WebアプリケーションフレームワークのApache Strutsに重大な脆弱（ぜいじゃく）性が発見され、Apache Software Foundationが9月5日、更新版となるバージョン2.5.13を公開して対処した。すぐに攻撃が発生する可能性も指摘され、関係者は直ちに更新版を適用するよう呼び掛けている。 今回の脆弱性は、オープンソースプロジェクト向けの無料コード検証サービス「lgtm.com」を提供している米Semmleの研究者が発見した。同社によると、2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、同フレームワークのRESTプラグインを使っている全てのWebアプリが影響を受ける。 脆弱性は、信頼できないデータを非

[renos]

あああああああああああああまたセキュリティ厳しい会社から0day問い合わせくるもおおおおおおおおおおん

[lyiase]

id:b-wind Struts2は脆弱性そのものは他のフレームワークに比べて若干多い程度ですが、「リモートの攻撃者が任意のコードを実行」はぶっちぎりで1位な感じがしますね。

[master-0717]

リモートの攻撃者が任意のコードを実行できるフレームワークといえばStruts2というイメージが定着してきた感ある。今回はRESTプラグインのJSONデシリアライズかな。／XMLだった https://www.jpcert.or.jp/at/2017/at170033.html

[ka-ka_xyz]

またおまえかstruts

[su_zu_ki_1010]

2008年以降にリリース…よし、struts1.1は関係ないな！

[daybeforeyesterday]

うーむ

[nakayuki805]

strutsってもはや脆弱性の代名詞だよな…

[rxjun]

またしてもApache Strutsに重大な脆弱性。2008年以降にリリースされた全バージョンでRESTプラグインを使用しているWebアプリが影響を受ける。またWebAP屋が泣きながらアップデートするパターンだな。

[hoshiyo]

またかよ感（ただし使ってないので一応他人事）。

[uehaj]

restで脆弱性...むしろどうやればそれが作り込めるのかに興味が

[mkusunok]

「2008年以降にリリースされたStrutsの全バージョン」ってことはStruts 1も入りそうだけど、Terasolunaがちゃんとパッチを出すのか要注目

[elwoodblues]

自社で関わっている案件で、まだStruts1.xを使っているシステムが残っている・・・。先方は、クローズドネットワークだから問題ない、とか言ってるけど、こういうニュースが出るたび冷や冷やする。

[rgfx]

「StrutsとRESTを使って開発されたアプリケーションを実行しているサーバ上で、リモートの攻撃者が任意のコードを実行できてしまう恐れ」

[stealthinu]

Struts2の脆弱性。また。2008年以降のバージョン全てに対して外部から任意のコードが実行可能な脆弱性らしい。Struts2使ってなくてよかった。

[xbs2r]

もう慣れすぎて棒読み感ある

[t-tanaka]

またかい。

[nilab]

Apache Strutsに重大な脆弱性、直ちに更新を「RESTプラグインを使っている全てのWebアプリが影響を受ける」「Strutsを使って開発されたWebアプリケーションは、Fortune 100に名を連ねる大手企業の少なくとも65％で利用」

[b-wind]

Struts の脆弱性の数って他のフレームワークと比べて多いのか気になる。

[yug1224]

Struts

[mitsuhoshi]

また君か

[wwolf]

まーたStruts君か