パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

影響範囲が広がるApache Struts2の脆弱性」記事へのコメント

  • by Anonymous Coward on 2017年03月21日 20時08分 (#3180022)

    Microsoftの.Net Framework(ASP.Net)は脆弱性あっても
    ここまで大規模に被害が報告されることが少ないよね?

    ただ単に採用例が少ないのか、
    サーバとはいえ半ば強制的にパッチをあてる仕組みが優秀なのか、
    GUIぽちぽちクリックするだけでアップデートが完了するのが優秀なのか。

    どれでしょう?

    • Re:.Net Framework (スコア:5, 参考になる)

      by Anonymous Coward on 2017年03月21日 20時44分 (#3180043)

      脆弱性の一覧を調べてみました。

      struts (1系、2系含む)
      https://www.cvedetails.com/vulnerability-list/vendor_id-45/product_id-... [cvedetails.com]
      2005/11/22より12年で57件、最高スコアが10.0 (最高値)

      ASP.NET (1.1~)
      https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-... [cvedetails.com]
      2003/09/22より15年で10件、最高スコアが7.8、任意コード実行なし

      他はSpringが7件、CakePHPが5件。
      上記は言語ランタイムの件数を含めていないし、それぞれのコードの規模にもよるんだろうけど、
      strutsはかなり脆弱性が多い印象。

      親コメント
      • by nim (10479) on 2017年03月22日 9時18分 (#3180281)

        Strutsはパラメータからリフレクション(とかファクトリ)で実行コードを呼び出す方法を多用してるけど、そこが特に深刻な脆弱性につながりやすい。
        機能のカスタマイズ性を高めるためにやってるのはわかるけど、脇が甘すぎる。せめて、パラメータベースで実行されるコードをホワイトリストで管理する仕組みを全面的に取り入れるべきだった。

        親コメント
    • Re:.Net Framework (スコア:3, 興味深い)

      by Anonymous Coward on 2017年03月21日 21時59分 (#3180090)

      .NET Framework自体にはそれなりに脆弱性を直すパッチは来てるよ。
      ただ、ASP.NETでWebアプリ公開していて即死レベルの攻撃をされる脆弱性はなかなか無い。
      Struts 2と同じレイヤのフレームワークで言うとASP.NET MVCがあるけど、
      こちらも即死レベルの問題は全然無くて、今までWindows Updateで更新入ったのもたぶん片手で数えられるレベル。
      まぁ単純にStruts 2作ってる連中がクソ&クソってだけじゃないかね。

      あと.Netじゃなくて.NETな。

      親コメント
      • by Anonymous Coward

        まあJava自体、言語仕様的に目的のコードが長く冗長に成りやすい=メンテナンス性悪化とバグ隠れやすい面あるから。

        というのを除いても、Strutsの修正コードはちょっとねw
        そして過去の積み重ねもあるからもうムリw

        .NETはそういう後々ヤバそうなモノを、言語仕様も見直して根元を断ちに行きますね。

    • by Anonymous Coward

      .Netに限らず、ここまで酷いフレームワークはあまり無いような気がします。

      公共工事案件で大企業のどこかが採用してしまったのが、これだけ大規模化した理由かと思われます。

    • by Anonymous Coward

      攻撃手法が広まる前に情報を掴んでるかどうか、の違いかなあ。
      もっと言えば、開発元への攻撃方法のタレこみが金になるかどうか。

    • by Anonymous Coward

      何の目的で.Netを引き合いにだしたのか知らんが、.Netは少なくともこんなに酷い代物じゃないからだろ
      Windowで使用されまくってるものだから脆弱性が発覚した場合の影響はstrutsの比じゃないのだし

    • by Anonymous Coward

      Strutsとその作者が特別にクソでファイナルアンサー

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...