Struts2が危険である理由
はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月(およそ3年前)に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成
PCがウイルスに感染しました1・・・こんな感じになりました('Α`)
| 人気ページ | おすすめ記事 | 定番ツール | PCがウイルスに感染しました1・・・こんな感じになりました('Α`)
例えば、Strutsを避ける
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
IPAが注意喚起をしたApache Struts2の脆弱性CVE-2014-0094について調べてみた。 - piyolog
Apache Struts2の脆弱性についてIPAが注意喚起を4月17日に掲載しました。 Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020) Apache Struts 2 Documentation S2-020 ニュース - Apache Struts 2の脆弱性対策が急務、攻撃プログラムが出回る:ITpro Apache Struts2に脆弱性攻撃の恐れ、IPAが緊急勧告 - ITmedia エンタープライズ 検証コードが既にインターネット上で公開されていること、そして悪用が比較的容易であることから、ここではS2-020のClassLoaderが操作されてしまう脆弱性CVE-2014-0094について調べた結果をまとめます。 1.検証環境の準備 検証にあたり、Apache Struts2の環境のメモです。Struts2を動かすだけであれば
サポート切れ企業に脅威、システム構築ソフト「ストラッツ1」、自社対策へ。 | SECURITY SHOW
NTTデータなど 企業の情報システムに新たな脅威が迫っている。多くの企業で使われているソフト「ストラッツ1」について、安全上の欠陥(脆弱性)を修正するプログラム「パッチ」の配布が4月に停止したためだ。実害はまだ無いが、専門家は「攻撃者はここぞとばかりに攻撃意欲を高めている」と話す。IT(情報技術)各社が対応を急いでいる。 ストラッツ1は設計情報が開示されており、自由に改変・再配布ができるオープンソースソフト(OSS)。OSSなため、商用ソフトに比べ低コストでシステム構築できることから、2000年初頭から企業での採用が増えた。 「複雑だったウェブの開発を簡単にして、一世を風靡したソフト」(ストラッツ1を使う業務ソフトを提供する企業の社長)と高い評価を得た。その後、競合ソフトも開発されたが、まだ相当数の企業がストラッツ1を使っているとみられる。 「パッチ配布が停止した今、使い続ける危険性は非常
Javaで暗号化したデータをPerlで復号化しようとしたら大変だった件 - download_takeshi’s diary
JavaでRijndael(AES)で暗号化されたデータをPerlで復号化しようと思います。 「暗号方式と秘密鍵だけ聞いておけば簡単にデコードできるっしょ、余裕っしょ」とタカをくくっていたら、思いっきり天罰がくだりました。久しぶりにハマったのであります。 ちゃんと確認しておくべきだった情報 まずは暗号方式と秘密鍵だけでなく、以下の情報をしっかりと確認しておく必要アリでした。 暗号アルゴリズム 秘密鍵 秘密鍵の長さ ブロック暗号化モード IV(Initialization Vector:初期化ベクトル) padding方式 暗号のことちゃんと勉強した事がないので、なんだかよくわからんけど、必要らしい。 せめて事前にここらへんを読んで勉強しておけばよかった。 ぱせらんメモ http://d.hatena.ne.jp/pasela/20100612/crypto DESに代わる次世代暗号「AES
ウノウラボ Unoh Labs: PHPで暗号化・復号化あれこれ
GT Nitro: Car Game Drag Raceは、典型的なカーゲームではありません。これはスピード、パワー、スキル全開のカーレースゲームです。ブレーキは忘れて、これはドラッグレース、ベイビー!古典的なクラシックから未来的なビーストまで、最もクールで速い車とカーレースできます。スティックシフトをマスターし、ニトロを賢く使って競争を打ち破る必要があります。このカーレースゲームはそのリアルな物理学と素晴らしいグラフィックスであなたの心を爆発させます。これまでプレイしたことのないようなものです。 GT Nitroは、リフレックスとタイミングを試すカーレースゲームです。正しい瞬間にギアをシフトし、ガスを思い切り踏む必要があります。また、大物たちと競いつつ、車のチューニングとアップグレードも行わなければなりません。世界中で最高のドライバーと車とカーレースに挑むことになり、ドラッグレースの王冠
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
