2014-04-25
Struts2に見つかった脆弱性と同様の脆弱性がStruts1系にも見つかりました。 Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 HTTP(S)のリクエストでJavaのClassLoaderのメソッドが呼び出せてしまうという脆弱性です。 もう少し噛み砕いて言えば、リクエストのパラメータをJavaBeansにセットする時に、リフレクションを使い、パラメータ名にaaa.bbb.cccのようなネストした名前をサポートしているフレームワークは同様の問題が起こる可能性があります。 パラメータ名をclass.classLoader.xxxのような感じにして、ClassLoaderのメソッドを呼び出す訳です。 このような問題を起こすリフレクションフレームワークで最も有名なのは、Apache Commons BeanUtilsです。リクエストのパラメータ
例えば、Strutsを避ける
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
五分でわかる日本SF作家クラブと大森望の20年間
トラバで指摘を受けたので一部修正&追加 大森望氏が日本SF作家クラブに入会を拒否られ、それを契機に一部の作家がクラブを退会していることが話題になっている。 日本SF作家クラブが大森望氏の入会を拒否→そのことに不満を持った作家が一斉に退会を表明 http://blog.livedoor.jp/qmanews/archives/52095403.html 大森望氏といえば、文学賞メッタ斬り!であれやこれや言って文壇からの顰蹙を買ったり、清涼院流水デビュー時に本の帯に「新本格最凶のカードがミステリの幸福な時代に幕を引く」と書いて真面目なミステリファンの不興を買ったり、このミスの匿名座談会で作家たちから反感を買ったりと、あまり買うべきじゃないものばかりたくさん買い集めているが、しかしそれでも彼がSFにもたらしてきたものは大きい。 人気作品の翻訳、創元SF短編賞の審査員、描き下ろしSFアンソロジーN
「機動戦士ガンダムUC」地上波放送のスケジュール発表!
アニメ「機動戦士ガンダムUC」エピソード1~6の地上波放送のスケジュールと放送局が発表された。 TX(テレビ東京)、MBS(毎日放送)、NBN(メ~テレ)で、エピソード1&2、3&4、5&6の3回に分けて放送する。放送予定は以下の通り。 TX「地上波初! 機動戦士ガンダムUC 完結記念 3週連続スペシャル」 episode 1&2:5月11日 深夜2時41分~ episode 3&4:5月18日 深夜2時41分~ episode 5&6:5月25日 深夜2時41分~ MBS「地上波初! 機動戦士ガンダムUC 完結記念 3週連続スペシャル」 episode 1&2:6月1日 深夜1時20分~ episode 3&4:6月8日 深夜1時20分~ episode 5&6:6月15日 深夜1時20分~ NBN「地上波初! 機動戦士ガンダムUC 完結記念 スペシャル」 episode 1&2:5月1
S2-021 - Apache Struts 2 Wiki - Apache Software Foundation
ProblemThe excluded parameter pattern introduced in version 2.3.16.1 to block access to getClass() method wasn't sufficient. It is possible to omit that with specially crafted requests. Also CookieInterceptor is vulnerable for the same kind of attack when it was configured to accept all cookies (when "*" is used to configure cookiesName param). SolutionIn Struts 2.3.20 improved "class" pattern was
与沢翼は経営上、何がまずかったのか - 福島餃子Ruby親方
ネタかもしれないものに、経営歴12年の経験でレスしてみます。 見た感じ、経費にならないものを買っているのが一番大きい気がします。 キャッシュがあるからといってとっておかないとこうなります。 2013年8月期決算の法人税、住民税、及び事業税2億5千305万の支払いのうち約1億1千万円並びに2012年8月期の修正申告分の税として8940万7200円を追加で計約2億円支払い、並びに2014年8月期決算予定納税の一部を支払い、フリーエージェントスタイルの資金が完全にショートしました。 そのため、今日時点において、既にフェラーリ、ロールスロイス、ベントレー3台を売却し、住宅なども全て解約しております。 < 華やかな生活を演出して、アフィリエイターやスタッフは仕事を集めたり、 本を売るのが目的だったのでしょうか。でも、これらの車などは資産計上しなければならないので、 短期的な経費にはなりませね。キャッ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
デザインのカスタマイズ|大山卓也
Spring MVCに対するセキュリティ勧告