タグ

javaとapacheに関するtkpyoiのブックマーク (4)

  • commons-collectionsのInvokerTransformer脆弱性について - R42日記

    2015-11-12 追記あり。「SpringとGroovyにも直列化オブジェクト脆弱性」も参照してください。 昨日からJava界隈で話題になっているcommons-collectionsの脆弱性について。 元ネタはこちら。 対応するチケットはこちら。 InvokerTransformerなんてクラスは初めて知りましたが、そりゃこういうことになりますよねぇ…というのが感想です。 影響を受けるシステム InvokerTransformerはcommons-collectionsとcommons-collections4の両方に存在しています。 いずれかのライブラリ(commons-collections.jarまたはcommons-collections4.jar)がクラスパスに存在しているとき、 以下のいずれかの条件を満たしていると攻撃が成立する可能性があります。 直列化したオブジェクトを

    commons-collectionsのInvokerTransformer脆弱性について - R42日記
    tkpyoi
    tkpyoi 2015/11/11
    Javaのcommons-collectionsの脆弱性について分かり易いまとめ、シリアライズしたオブジェクトを受け取る仕組みだともれなく影響するらしい。信頼できない人からお菓子を貰ってはいけません。
  • セキュリティnews | MBSD

    Apache Strutsは、Apache Software Foundationが提供するJavaのウェブアプリケーションを作成するためのソフトウェアフレームワークです。 Apache Strutsのバージョン(2.0.0)から(2.3.16)には、ClassLoaderを操作される脆弱性が存在し、2014年3月に対策されたバージョン(2.3.16.1)が公開されました。 しかし、このバージョン(2.3.16.1)に対して修正が不十分であるため、未だClassLoaderを操作される脆弱性が存在しており、現在も未対応の状態です。 弊社にて調査結果、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にできることを確認いたしました。 また、攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される可能性

    tkpyoi
    tkpyoi 2014/04/25
    Struts1系、2系ともに影響する、リモートから任意のコード実行可能な脆弱性。やばい。
  • Hadoop 2.4.1 Release Notes

    tkpyoi
    tkpyoi 2013/11/15
    いつのまにやらHadoopのバージョンが2を超えてた。。
  • IBM Developer

    IBM Developer is your one-stop location for getting hands-on training and learning in-demand skills on relevant technologies such as generative AI, data science, AI, and open source.

    IBM Developer
  • 1