Apache Strutsに重大な脆弱性、直ちに更新を
2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。 Java WebアプリケーションフレームワークのApache Strutsに重大な脆弱(ぜいじゃく)性が発見され、Apache Software Foundationが9月5日、更新版となるバージョン2.5.13を公開して対処した。すぐに攻撃が発生する可能性も指摘され、関係者は直ちに更新版を適用するよう呼び掛けている。 今回の脆弱性は、オープンソースプロジェクト向けの無料コード検証サービス「lgtm.com」を提供している米Semmleの研究者が発見した。同社によると、2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、同フレームワークのRESTプラグインを使っている全てのWebアプリが影響を受ける。 脆弱性は、信頼できないデータを非
HeartbleedにStrutsにIE……脆弱性に振り回された1カ月
連載目次 2014年4月はWindows XPのサポート終了が一番の話題であるはずが、それよりも大きな問題が2つも起こってしまいました。Heartbleedと呼ばれるOpenSSLの脆弱性、そしてApache Strutsの脆弱性です。 OpenSSLの脆弱性もApache Strutsの脆弱性も多数のWebサイトで発生したため、セキュリティクラスターのほとんどの人が何かしらの影響を受けたようでした。Apache Strutsの脆弱性では「修正が不十分である」との発表を行った会社が方々から叩かれるという、これまでにあまりないことが起こりました。 そして大型連休を控えた月末には、Windows XPにも影響がある危険な脆弱性が発見され……最後まで脆弱性に振り回された1カ月でした。
例えば、Strutsを避ける
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
もはやWeb利用者の常識、“URL”の意味を理解しよう
もはやWeb利用者の常識、“URL”の意味を理解しよう:Webアプリの常識をJSPとStrutsで身につける(5)(2/3 ページ) ■HTTP WebのプロトコルであるHTTPは、HyperText Transfer Protocolの略で、一般のユーザーにとっても最も身近なプロトコルの1つです。これは、前回の「HTMLやStrutsに必須の“タグ”と“サブミット”の常識」で解説したHTMLで記述された文書ファイルや、画像ファイル、動画ファイルなどを“閲覧”するために利用します。 連載第3回の「Webアプリにおけるサーバとクライアントの常識」でも解説しましたが、Webブラウザからの要求(リクエスト)に対して、サーバが応答(レスポンス)するという形でデータがやりとりされます。やりとりは数回行われることはなく、1回の送受信でコネクションは切断されます。詳細は後述します。 HTTPを通じてWe
Javaの道:Struts(17.Validator)
概要 Validatorはタグの指定のみでアクション・フォームBeanに入力される値のチェックを行うことができます。入力値ごとにチェックプログラムを記述する必要がなく、簡易な設定で入力値のチェックを行うことができます。 Validatorで確認できるルール
存在に気付かないふり? Struts
調査を行う過程で、稼働中と思われる探調TOOLを発見した。このURLを見て分かる通り、「.action」という拡張子が用いられている。これは慣習的に「Apache Struts」を用いるアプリケーションで指定される拡張子である。さらに、ソースコードを確認すると「struts」という文字列がパス指定でいくつか記載されていた。 これは断定ではないのだが……。 Apache HTTP Serverは10年ほど外部から改ざんを行えるような脆弱性、および攻撃コードがリリースされていない 原因となった探調ツールでは「.action」拡張子が使用されているページがある そのソースコードにはstrutsの文字列がパス指定で記載されている という理由から、探調TOOLでは脆弱性の影響を受けるバージョンのApache Strutsが利用されており、その脆弱性を突かれて、今回の事件に至ったのではないだろうかと考
やまぬWeb改ざん、Apache Struts2の被害も拡大
やまぬWeb改ざん、Apache Struts2の被害も拡大:セキュリティクラスタ まとめのまとめ 2013年7月版 7月も引き続き、日本のWebサイトでは改ざんや不正ログインが続々と発生。加えてApache Struts2に重大な脆弱性が発見され、さらに多数の攻撃が起こりました。 7月も前月に続き、日本のWebサイトで改ざんや不正ログインが続々と発生しました。加えてApache Struts2に重大かつ悪用の容易な脆弱性が発見され、さらに多数の攻撃がありました。またBINDにも脆弱性が発見され、サーバ管理者はアップデート作業で大変な思いをしていたようです。 一方、国内ではQ&Aサイトの「Yahoo!知恵袋」でゼロデイ脆弱性が見つかって公開されたほか、海外でもアップルの開発者向けサイトのゼロデイ脆弱性を突いた不正アクセスが発生し、侵入者が名乗り出るといった事件が起こりました。これを機に、脆
Index of /dist/struts/source
Name Last modified Size Description Parent Directory - jakarta-struts-1.2.2-src.tar.gz 2004-08-30 18:21 5.6M jakarta-struts-1.2.2-src.tar.gz.asc 2004-08-30 18:21 226 jakarta-struts-1.2.2-src.tar.gz.md5 2004-08-30 18:21 66 jakarta-struts-1.2.2-src.zip 2004-08-30 18:21 9.0M jakarta-struts-1.2.2-src.zip.asc 2004-08-30 18:21 226 jakarta-struts-1.2.2-src.zip.md5 2004-08-30 18:21 63 jakarta-struts-1.2.4
WebTutorial - TERASOLUNA サーバFWプロジェクト - Trac
マニュアル > TERASOLUNA Server Framework for Java(Web版)チュートリアル TERASOLUNA Server Framework for Java(Web版) 目次
strutsタグとJSTLの対応表 | dTblog
今まで JSP で struts の bean タグや logic タグで記述していたところを、JSTLを使って書かなくちゃいけなくなった。めんどっちぃ。ということで、対応表。 struts taglibJSTL
Strutsの常識を知り、EclipseとTomcatの環境構築 (1/4) - @IT
Strutsの常識を知り、EclipseとTomcatの環境構築:Webアプリの常識をJSPとStrutsで身につける(2)(1/4 ページ) 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です いまさら聞けないStrutsの常識 今回は、「Strutsの常識」と題し、Webアプリケーションフレームワークの1つであるStrutsについての概要を説明したうえで、JDKやEclipse、TomcatなどのWebアプリケーション作成の環境構築を行い、サンプルプログラムを実際に作成してみましょう。 連載第1回の「いまさら聞けない、Webアプリケーションの常識」で、「本連載ではStrutsを取り上げていきます」
Eclipseではじめる Javaフレームワーク入門 第3版|サポート|秀和システム
※クリックしてもダウンロードが始まらないときは、右クリックして「対象をファイルに保存」で実行して下さい。 ※ダウンロードがうまくいかない場合、他のブラウザでの操作もお試し下さい。 ※データは圧縮形式になっています。解凍ソフトをご利用下さい。 解凍ソフトダウンロード方法
Struts化するRailsって本当か - ひがやすを技術ブログ
良い悪いは置いておくとしてRubyOnRailsはStrutsになるのだなと感じています(エンタープライズ開発でデファクト・スタンダードになって一定のポジションを獲得する) 最近、「RailsはStruts化する」という風に思っている人が多そうなので、私の意見を書いておきます。 そんなことはないでしょう。 エンタープライズ開発をおこなっている多くのSIerは、とても保守的(だと思う)です。Strutsの導入だってとても慎重で、他で結構使われてもう大丈夫と思ったところで導入したというケースが多いのではないでしょうか。 理由は簡単で、規模が大きいと失敗の損失が大きいので、できる限りリスクを避けようとするためです。今特に困ってないなら、冒険する必要はないという判断です。 新たなテクノロジーを導入するのは、リスクがなく生産性が向上すると判断したか、今のテクノロジーではコストがかかり過ぎると判断した
Webアプリの常識をJSPとStrutsで身につける
いまさら聞けない、Webアプリケーションの常識 Webアプリの常識をJSPとStrutsで身につける(1) JSP/サーブレット+Strutsを通じてJava以外の開発にも通用するWebアプリ全般の広い知識・常識を身に付けましょう
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Struts 1が寿命を迎える
http://www.jajakarta.org/site/translation.html
java - Struts or Spring MVC or Struts & Spring? - Stack Overflow