Apache struts でまたしても脆弱性発覚!
Apache struts とは
Apache StrutsはJavaWEBアプリケーションのオープンソースフレームワークです。
導入が比較的容易で無料なので使っている人も多いハズ。
Apache Tomcatのサーブレットコンテナと合わせて使うのが一般的。
Strutsを使えば、大抵のJavaアプリケーションは動作できる。
便利だけど脆弱性が多い
Strutsは便利なんだけど、脆弱性が非常に多いのが難点。
対策されたバージョンの提供が早いのが救いだが。
8/23にも新たに脆弱性が発見されてバージョンアップを促している。
どんな脆弱性?
設定ファイルのnamespaceに対して
- 値が指定されていない
- ワイルドカードが指定されている
- URLタグの記述でactionかvalueが指定されていない
場合において、任意のコードが実行できてしまうというもので、深刻度MAXの脆弱性です。