GMO社が被害を受けたStruts 2(CVE-2017-5638)問題で我々は何を学ぶべきか? - QiitaGMOペイメントゲートウェイ社(以下GMOPG)という、クレジット決済代行を取り扱う、 国内最大手の会社がクレジットカード番号を流出させたとして、 3/10以降大きく報道されました。 この事故から、我々エンジニアが学ぶべき事は何でしょうか? 発生した事象について CVE-2017-5638とはなにか ファイルアップロードにおけるマルチーパートヘッダーの解釈部分に脆弱性があり、 リモートコード実行(RCE)が可能な状態であったらしい 本投稿の趣旨から外れるので、詳しくは調べていません。 経緯・経過 3/6 脆弱性情報が公開されたらしい (Cf. Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について ) 3/8 IPAが情報を掲載 (Cf. Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)
