パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apache Commonsライブラリに脆弱性、多くのアプリケーションに影響」記事へのコメント

  • by Anonymous Coward on 2015年11月10日 20時24分 (#2915121)

    本家のスレッド読むと、serialize/deserializeをコマンドラインから直接たたかない限りだ大丈夫とか、入力サニタイズすればいいだけとか言ってるように見えるんだけど、実際どうなん?

    コード立証ページも、立証というより放置されたことへの腹いせ感情論な感じがするし。
    そりゃApache Commonは使ってるところ多いだろうけどさ。

    • Re:これどうなん (スコア:4, 参考になる)

      by Anonymous Coward on 2015年11月10日 21時09分 (#2915134)

      RPCやクッキーのような外部データをオブジェクトとして受け取る口があればcommons-collections.jarがクラスパスにあるだけで死ぬ。
      デシリアライズした時点で任意コードが実行されるので、バイト列に対してのサニタイズになるんでサニタイズは難しくて、
      デシリアライザをカスタマイズしてClassのリゾルブに制限かける形になると思う。

      親コメント
    • by hanhan4 (43237) on 2015年11月10日 22時11分 (#2915162) 日記

      問題提起側の一人である Gabriel Lawrence 氏が Apache Commons のメーリングリスト [markmail.org] で

      > We've tried to be pretty clear to people that this isnt a problem with the libraries,

      といっているので Apache Commons が何か間違えている,という話ではなさそう。

      親コメント
    • by Anonymous Coward on 2015年11月11日 0時43分 (#2915229)

      サニタイズ言うてもシリアライズされたオブジェクトを事前検証するって難儀な話ですわな
      serializer/deserializerやreflectionって怖いことやってるのに何か気楽に使われるよなぁ…

      親コメント

人生unstable -- あるハッカー

処理中...