セキュリティnews | MBSD

Apache Strutsは、Apache Software Foundationが提供するJavaのウェブアプリケーションを作成するためのソフトウェアフレームワークです。 Apache Strutsのバージョン（2.0.0）から（2.3.16）には、ClassLoaderを操作される脆弱性が存在し、2014年3月に対策されたバージョン（2.3.16.1）が公開されました。 しかし、このバージョン（2.3.16.1）に対して修正が不十分であるため、未だClassLoaderを操作される脆弱性が存在しており、現在も未対応の状態です。 弊社にて調査結果、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にできることを確認いたしました。 また、攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される可能性

[sora_h]

書くなよ

[kfujieda]

セキュリティが専門の会社が脆弱性情報の取り扱いを間違えるとはね。

[anemo]

あーあ…脆弱性情報を対応前に公開してはいけないのに…

[dominion525]

ゼロデイ攻撃を煽る反社会的行為ですか？

[celitan]

対応終わってから公表しろよ

[iqm]

え、なんで公開したの？

[YaSuYuKi]

対応が終わっていないのに書くとは。幸いStrutsをたまたま使っていなかったから自分は運良く巻き込まれなかったが、巻き込まれた方に代わって申し上げる。「地獄に落ちろ」

[ockeghem]

『Apache Struts2（2.3.16、S2-020の修正版）に対するゼロディを弊社エンジニアが発見いたしました』

[teracy_junk]

『このバージョン（2.3.16.1）に対して修正が不十分であるため、未だClassLoaderを操作される脆弱性が存在しており、現在も未対応の状態です』アホか（公開したことに対して）

[YAK]

シュール

[tkhdfjnm]

Struts2のClassLoader操作される脆弱性、2.3.16.1では不十分とか。マジですかマジか。

[Haaaa_N]

まだ一月も経ってないのに公開したのは,誰にでも見つかるような脆弱性だから,隠すと逆に危険だと判断したのかな(超好意的解釈)

[tkpyoi]

Struts1系、2系ともに影響する、リモートから任意のコード実行可能な脆弱性。やばい。

[umakoya]

ゴールデンウィーク前後は各社の対応が遅れるのを狙って某国からの攻撃が増加するというのに、このタイミングでの発表はエグい。

[neotag]

うへぇ

[kz_s]

問題になるという想像がつかなかったのだろうか…

[tarchan]

＞攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される可能性があります。

[ya--mada]

struts2か。

[nakunaru]

Struts2はもう終わりです。突然こんなこと言ってごめんね。

[rokujyouhitoma]

なに公開しちゃってるのwww

[n2s]

Javaで0-dayが毎回のように暴露されても「またJavaか」「Oracle地獄に落ちろ」だったのとは正反対の反応で面白い(まあそっちは非公開で教えてから1年たっても直らなかったからって経緯はあるけどね)

[Cujo]

言いたそうなことはわかるけど『ゼロデイを（中略）発見』てどういう意味なんだろう。

[harupu]

直接やり取りをするとJVNに謝辞が載らないから、自分のとこに先に書きたかったのかしら？

[akira_nishii01]

Apache Struts2（2.3.16、S2-020の修正版）に対するゼロディを弊社エンジニアが発見

[katsyoshi]

かこいいー

[you21979]

まずstrustsのプロジェクトとネゴとって直してから脆弱性の情報はアップしろよ。。。「現在も未対応の状態です。」

[coppieee]

http://goo.gl/QmyKpc Strutsのプロジェクトの脆弱性の対応は以前からひどかったらしいね。これ探せばだれでも脆弱性見つけられる状態な気がする？

[yosida95]

趣がある

[kai_kuchiki]

おいバカやめろ。どうなってもしらんぞ。

[W53SA]

「現在も未対応の状態です。」「公式な対応待ちです。」ゼロデイ攻撃待ったなし

[tyage]

"現在も未対応の状態です。"