アカウント名:
パスワード:
>まだ修正されていない脆弱性の存在を発表したことに対し批判する声も出ている
【MBSD: 2014/4/22】弊社では、Apache Struts2の窓口であるApache Software Foundationには連絡をし、公式な対応待ちです。(略)公式な対応が発表されるまでの暫定対応策として作成した、サーブレットフィルタのソースコードを公開致します。
【IPA: 最終更新日:2014年4月17日】この脆弱性を攻撃するコードが公開されているという情報提供があり(略)Apache Software Foundation から対策済みのバージョンである 2.3.16.1 が公開されています。早急なアップデートを検討して下さい。
@ITの記事( http://www.atmarkit.co.jp/ait/articles/1404/17/news158.html [atmarkit.co.jp] )でも>対策は前述の通り、脆弱性を修正したApache Struts 2.3.16.1にバージョンアップすること。とあるので。 17日時点で公式対応版が出ていることに間違いないはず。すると……MBSDが「まだ修正されていない脆弱性の存在を発表した」なんて話には、なりません。
何かしらの都合で17日以前のものが22日となっている場合を除けば…。既に対応されていたのだけれどもMBSDがその事実を知らず、22日付けで暫定対応版を公開してしまった。という話ですかね?
IPA や @IT の記事は、3/6 にリリースされた 2.3.16.1 にバージョンアップしてくださいという話で、MBSD は更にこの 2.3.16.1 にも脆弱性があると言っていると思いますよ!
・2014年3月に対策されたバージョン 2.3.16.1 が公開されました。この脆弱性を攻撃するコードが公開されているという情報提供があり・対策済みのバージョンである 2.3.16.1あたりで混乱していたようだ。そうだよな。2.3.16.1に対策が入ったら2.3.16.2にするよな、普通。
よし。疲れてるんだ。オーバーワークするって決めてたけど。帰ろう!
MBSDは「2.3.16.1」の脆弱性を指摘しています.
--------------------Apache Strutsのバージョン(2.0.0)から(2.3.16)には、ClassLoaderを操作される脆弱性が存在し、2014年3月に対策されたバージョン(2.3.16.1)が公開されました。しかし、このバージョン(2.3.16.1)に対して修正が不十分であるため、未だClassLoaderを操作される脆弱性が存在しており、現在も未対応の状態です。--------------------
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
MBSD側がなんだかおかしいぞ。 (スコア:1)
>まだ修正されていない脆弱性の存在を発表したことに対し批判する声も出ている
【MBSD: 2014/4/22】
弊社では、Apache Struts2の窓口であるApache Software Foundationには連絡をし、公式な対応待ちです。
(略)
公式な対応が発表されるまでの暫定対応策として作成した、サーブレットフィルタのソースコードを公開致します。
【IPA: 最終更新日:2014年4月17日】
この脆弱性を攻撃するコードが公開されているという情報提供があり
(略)
Apache Software Foundation から対策済みのバージョンである 2.3.16.1 が公開されています。早急なアップデートを検討して下さい。
@ITの記事( http://www.atmarkit.co.jp/ait/articles/1404/17/news158.html [atmarkit.co.jp] )でも
>対策は前述の通り、脆弱性を修正したApache Struts 2.3.16.1にバージョンアップすること。
とあるので。 17日時点で公式対応版が出ていることに間違いないはず。
すると……MBSDが「まだ修正されていない脆弱性の存在を発表した」なんて話には、なりません。
何かしらの都合で17日以前のものが22日となっている場合を除けば…。
既に対応されていたのだけれどもMBSDがその事実を知らず、22日付けで暫定対応版を公開してしまった。
という話ですかね?
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
Re:MBSD側がなんだかおかしいぞ。 (スコア:1)
IPA や @IT の記事は、3/6 にリリースされた 2.3.16.1 にバージョンアップしてくださいという話で、MBSD は更にこの 2.3.16.1 にも脆弱性があると言っていると思いますよ!
Re:MBSD側がなんだかおかしいぞ。 (スコア:1)
・2014年3月に対策されたバージョン 2.3.16.1 が公開されました。この脆弱性を攻撃するコードが公開されているという情報提供があり
・対策済みのバージョンである 2.3.16.1
あたりで混乱していたようだ。
そうだよな。2.3.16.1に対策が入ったら2.3.16.2にするよな、普通。
よし。疲れてるんだ。
オーバーワークするって決めてたけど。帰ろう!
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
Re:MBSD側がなんだかおかしいぞ。 (スコア:1)
MBSDは「2.3.16.1」の脆弱性を指摘しています.
--------------------
Apache Strutsのバージョン(2.0.0)から(2.3.16)には、ClassLoaderを操作される脆弱性が存在し、2014年3月に対策されたバージョン(2.3.16.1)が公開されました。
しかし、このバージョン(2.3.16.1)に対して修正が不十分であるため、未だClassLoaderを操作される脆弱性が存在しており、現在も未対応の状態です。
--------------------