パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

影響範囲が広がるApache Struts2の脆弱性」記事へのコメント

  • by Anonymous Coward

    Microsoftの.Net Framework(ASP.Net)は脆弱性あっても
    ここまで大規模に被害が報告されることが少ないよね?

    ただ単に採用例が少ないのか、
    サーバとはいえ半ば強制的にパッチをあてる仕組みが優秀なのか、
    GUIぽちぽちクリックするだけでアップデートが完了するのが優秀なのか。

    どれでしょう?

    • Re: (スコア:5, 参考になる)

      by Anonymous Coward

      脆弱性の一覧を調べてみました。

      struts (1系、2系含む)
      https://www.cvedetails.com/vulnerability-list/vendor_id-45/product_id-... [cvedetails.com]
      2005/11/22より12年で57件、最高スコアが10.0 (最高値)

      ASP.NET (1.1~)
      https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-... [cvedetails.com]
      2003/09/22より15年で10件、最高スコアが7.8、任意コード実行なし

      他はSpringが7件、CakePHPが5件。
      上記は

      • by nim (10479) on 2017年03月22日 9時18分 (#3180281)

        Strutsはパラメータからリフレクション(とかファクトリ)で実行コードを呼び出す方法を多用してるけど、そこが特に深刻な脆弱性につながりやすい。
        機能のカスタマイズ性を高めるためにやってるのはわかるけど、脇が甘すぎる。せめて、パラメータベースで実行されるコードをホワイトリストで管理する仕組みを全面的に取り入れるべきだった。

        親コメント

アレゲは一日にしてならず -- アレゲ研究家

処理中...