パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

影響範囲が広がるApache Struts2の脆弱性」記事へのコメント

  • by Anonymous Coward

    Microsoftの.Net Framework(ASP.Net)は脆弱性あっても
    ここまで大規模に被害が報告されることが少ないよね?

    ただ単に採用例が少ないのか、
    サーバとはいえ半ば強制的にパッチをあてる仕組みが優秀なのか、
    GUIぽちぽちクリックするだけでアップデートが完了するのが優秀なのか。

    どれでしょう?

    • by Anonymous Coward

      Java使いのセンスが悪いだけでしょう

      • Re: (スコア:5, 興味深い)

        by Anonymous Coward

        Java使いのセンスが悪いだけでしょう

        Javaのセンスが悪い…のではなくStruts2の基盤の一つであるOGNLが全ての原因なんですよね。

        OGNLとは(ざっくり言うと)文字列をJavaの式として評価できるライブラリです(構文とかは違うけどもやれることは同じ)
        いわば他言語で言うところのevalにあたるもので、便利な一方で慎重に使わないとセキュリティリスクに直結する非常に危険な代物です。

        そんなevalに相当する恐ろしいものがStruts2では設定ファイルを始め(今回問題になった)ログのフォーマットや動的なHTML(JSP)生成に使われたりと広範囲に利用されています。
        このようにStruts2にはOGNLを基盤に使うという

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...