タグ

Javaと脆弱性に関するmather314のブックマーク (2)

  • Struts2が危険である理由

    はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月(およそ3年前)に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成

    Struts2が危険である理由
  • 公式サポートが終了する Java SE 7 の利用者に向けた注意喚起:IPA 独立行政法人 情報処理推進機構

    2015年4月30日にオラクルコーポレーションが提供している「Java SE 7(Java Platform, Standard Edition 7)」の公式サポートが終了します。公式サポートが終了すると、新たな脆弱性が発見されても、アップデートが提供されなくなります。 アップデートが提供されなくなると、脆弱性を悪用した攻撃によるウイルス感染などの危険性が高くなります。利用者には、速やかなバージョンアップの実施が求められます。 公式サポートが終了した「Java SE 7」を使い続ける危険性 公式サポートの終了以降も「Java SE 7」を使い続けると、脆弱性が新たに発見されてもアップデートが提供されないため攻撃の被害にあう可能性が高くなります。クライアント、サーバには各々下記のような危険性があります。 クライアントPC 改ざんされたウェブサイトへアクセスした場合、および攻撃者が用意したウェ

    公式サポートが終了する Java SE 7 の利用者に向けた注意喚起:IPA 独立行政法人 情報処理推進機構
  • 1