Apache struts でまたしても脆弱性発覚!

Pocket

Apache struts とは

Apache StrutsはJavaWEBアプリケーションのオープンソースフレームワークです。

導入が比較的容易で無料なので使っている人も多いハズ。

Apache Tomcatのサーブレットコンテナと合わせて使うのが一般的。

Strutsを使えば、大抵のJavaアプリケーションは動作できる。

Apache Strutsとは(wikipedia)

便利だけど脆弱性が多い

Strutsは便利なんだけど、脆弱性が非常に多いのが難点。

対策されたバージョンの提供が早いのが救いだが。

8/23にも新たに脆弱性が発見されてバージョンアップを促している。

Apache Struts 2 脆弱性報告

どんな脆弱性?

設定ファイルのnamespaceに対して

  • 値が指定されていない
  • ワイルドカードが指定されている
  • URLタグの記述でactionかvalueが指定されていない

場合において、任意のコードが実行できてしまうというもので、深刻度MAXの脆弱性です。

 

 

 

Comments

No comments yet. Why don’t you start the discussion?

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください