タグ

関連タグで絞り込む (10)

タグの絞り込みを解除

Apacheとstrutsに関するm_shige1979のブックマーク (5)

  • 【Struts脆弱性】サルでも分かるStrutsのClassloader脆弱性(CVE-2014-0094)(CVE-2014-0112)

    実装するとしたらこんな感じかな?(動作確認してません。ごめんなさい) import java.io.*; import javax.servlet.*; import javax.servlet.http.*; public class RequestCheckFilter implements Filter { public void init(FilterConfig conf) throws ServletException {} public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws ServletException, IOException { // 正規表現パターンを生成 Pattern p = Pattern.compile("(^|\W)[cC]

    【Struts脆弱性】サルでも分かるStrutsのClassloader脆弱性(CVE-2014-0094)(CVE-2014-0112)

  • Struts(ストラッツ)

    Apache Struts(アパッチ・ストラッツ)はApache Software Foundationが開発したオープンソースのWebアプリケーションフレームワーク。サーバー上でJavaアプリケーションを作成する際に利用すると、ゼロベースからプログラミングするより効率的に開発できる。Webサイトの利用者が入力した内容に応じて動的コンテンツを生成するためのフレームワークとして使われる。 2000年にApacheのプロジェクトになった頃から、Webアプリケーション開発環境として幅広く使われてきた。その後、Java以外のWebアプリケーション開発言語が広まったり、HTML5やWeb APIなどStrutsの機能を実質的に代替する技術が発展したりしたため、以前ほど使われなくなっている。 Strutsにはしばしば脆弱性が見つかっており、情報処理推進機構(IPA)などのセキュリティ組織やセキュリティ

    Struts(ストラッツ)

  • StrutsのClassLoader脆弱性はSAStrutsに影響しません - ひがやすを技術ブログ

    Struts2に見つかった脆弱性と同様の脆弱性がStruts1系にも見つかりました。 Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 HTTP(S)のリクエストでJavaのClassLoaderのメソッドが呼び出せてしまうという脆弱性です。 もう少し噛み砕いて言えば、リクエストのパラメータをJavaBeansにセットする時に、リフレクションを使い、パラメータ名にaaa.bbb.cccのようなネストした名前をサポートしているフレームワークは同様の問題が起こる可能性があります。 パラメータ名をclass.classLoader.xxxのような感じにして、ClassLoaderのメソッドを呼び出す訳です。 このような問題を起こすリフレクションフレームワークで最も有名なのは、Apache Commons BeanUtilsです。リクエストのパラメータ

    StrutsのClassLoader脆弱性はSAStrutsに影響しません - ひがやすを技術ブログ

  • Struts 2の脆弱性は最新版でも未修正、Struts 1にも同様の脆弱性が存在

    Struts 2の脆弱性は最新版でも未修正、Struts 1にも同様の脆弱性が存在:国内セキュリティ企業が相次いで注意喚起 脆弱性を修正したはずのWebアプリケーションフレームワーク「Apache Struts 2」の最新版、バージョン2.3.16.1に、いまだに脆弱性が残っている。さらに、既にサポートの終了している「Struts 1」にも同様の脆弱性が存在するという。 セキュリティ企業の三井物産セキュアディレクション(MBSD)は2014年4月22日、脆弱(ぜいじゃく)性を修正したはずのWebアプリケーションフレームワーク「Apache Struts 2」の最新版、バージョン2.3.16.1に、いまだに脆弱性が残っていることを確認したと明らかにした。 またラックは2014年4月24日、Webアプリケーションフレームワーク「Apache Struts 2」に存在するものと似た脆弱性が、既に

    Struts 2の脆弱性は最新版でも未修正、Struts 1にも同様の脆弱性が存在
    m_shige1979
    m_shige1979 2014/04/25
    現行対応としては差し替えすることはできないから一時的な退避策で逃げないといけないのかな?そういえばjavaの生産性ってどんな感じなんだろ
    リンク

  • Apache Struts2の脆弱性は未解決? Struts1にも存在――国内サイト多数に影響か

    脆弱性を修正したとされるバージョンでは対応が不十分である可能性が指摘された。一方、この脆弱性はサポートが終了しているStruts1にも存在し、多数のWebサイトが無防備なままになっているという。 Java WebアプリケーションフレームワークのApache Struts2に脆弱性が見つかった問題で、この脆弱性を修正したとされるバージョンは、実際には修正が不十分であることが分かった。さらに、この脆弱性は既にサポートが終了しているApache Struts1にも存在することが判明した。 脆弱性はApache Struts 2.0.0~2.3.16に存在する。細工されたリクエストをWebサーバに送りつけるとClassLoaderが不正操作され、情報が流出したり、任意のコードを実行されたりする恐れがある。修正版というApache Struts 2.3.16.1が3月2日にリリースされていた。 情報

    Apache Struts2の脆弱性は未解決? Struts1にも存在――国内サイト多数に影響か
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.