Struts 2の脆弱性を狙った攻撃が増えている 24
ストーリー by hylom
指先ひとつでダウン 部門より
指先ひとつでダウン 部門より
あるAnonymous Coward 曰く、
JPCERTが、Apache Struts の脆弱性 (S2-016) に関する注意喚起を行っている。脆弱性があるサイトに対し、細工した HTTPリクエストを送るだけで任意のOSコマンドが実行されるという、かなり危険な脆弱性だそうで、影響を受ける対象もApache Struts 2.0.0から2.3.15と広い。Apache Struts 2.3.15.1では修正されているとのことなので、利用者は確認のうえアップデートをおすすめする。
なお、Strutsの公式Webサイトには脆弱性の例としてHTTP経由で任意のコマンドを実行させる方法が掲載されているため、簡単に試すことができてしまう(wakatonoの戯れメモ)。注意されたし。
オープンソースは (スコア:1)
頻繁に修正されるからセキュリティ問題な起こらない
というようなことを昔言ってましたね。
藁人形論法 (スコア:0)
セキュリティ問題が起こらないなら頻繁に修正する必要ないじゃん。そんな論理破綻したことをどこのバカが言ってたの?
あーあ (スコア:0)
これ、結構ダメージでかいんじゃないかな
フレームワークバージョンアップしないで使ってるとこ多いでしょ
struts大好きだもんね、日本の企業は。
#というか、いまだにver1使ってたりするから逆に安全なのか?
Re:あーあ (スコア:2)
フレームワークのバージョンアップの際はリグレッションテストを行うのが普通で、単体レベルはともかくそれより上の層でのテスト自動化が行われているところはほとんどないのでバージョンアップはまずないでしょうね。
ただ、Strutsとはいっていも日本で人気があったのはStruts1.2までなので、比較的使われているところは少ないのでは。自分もStruts2系よりもStruts1系のほうがいまだに多いのはでと思っています。
それにしてもPoCをみましたが、本当にお手軽にコマンドラインインジェクションが可能でかなり危険ですね。
Re: (スコア:0)
「テストが自動なんて信用できない!」
「結果はExcelで」
まあこれが現場ですからねぇ。そりゃバージョンアップしないよねw
最近サイトで情報抜かれてるのはこれなのかな
#あー、うちもstruts1系のプロジェクトあるわ…
Re: (スコア:0)
はっ?
結果は紙に赤ペンでチェック後、署名押印だろ?
Excelなんて偽造可能だし信じられるか!
#テストの評価はキングファイルの冊数です
Re: (スコア:0)
罫線が足らん!!ここの罫線が削れていると上と同じテストパターンで実行されるから
結果が全く別物になるだろうが!!
// 言わんとすることも分かるが…
Re: (スコア:0)
#というか、いまだにver1使ってたりするから逆に安全なのか?
Struts1:EOL
Struts2:脆弱性
泣くしかない
Re: (スコア:0)
きのこる先生が何か言いたそうなふうでこちらを見ています。
Re: (スコア:0)
求人見てると、Struts1どころかPHPの案件の方が多くて泣ける。
以前仕事無いのでしかたなく受けたら、超々糞スパゲッティコードで軽く死ねるレベルだった。
PHPプログラマーを同じ人間と思わない方がいい。
奴らは同僚のプログラマーを殺すためなら、どんな汚い手段でも使ってくる。
Re: (スコア:0)
PHPに限らず、後からメンテナンスする可能性があるプログラムなのに、メンテナンスのことを考えずにコードを書いて、引き継いだ人が阿鼻叫喚になるケースが多い。
Re: (スコア:0)
PHPは規模的にも丸っと書きなおしたほうが早い場合が多いですね。
設計書どころか仕様書すら存在しないことも珍しくないですし。
Re: (スコア:0)
この脆弱性ないよねとサポート解約済みのところから確認依頼がきた・x・
Struts2 はリモートコマンド実行脆弱性多すぎ (スコア:0)
攻撃難易度や条件は様々だったけど、ここ数年で何回あったんだ。
Re: (スコア:0)
表現言語がリフレクションサポートして動的にパラメータかURLからコールできれば
一発で死んでまいますがな・・・PHP言語と同じですやん
Re: (スコア:0)
なにゆえここにぶら下げたのかよく分かんないけどどの言語にも言える話だと思うけども。
そもそもちょっと問題が違う気が雅が
Re: (スコア:0)
素のPHPでこんな事になるか???
どうやってやるのそれ
OGNLが癌 (スコア:0)
BeanUtilsまでで止めておけばいいものを、
任意の式を実行できるOGNLなんぞを入力値評価に使うからこうなる。
便利なのはわかるが、他言語での苦労を振り返って止めようと思わなかったのか。
Re: (スコア:0)
なんというか、そこまでやる必要あるか? 無くね? やめようず。っていう判断が出来ず、
やたら巨大なライブラリを持ってきて、あげく継続的に炎上するのがセンスの無いJava界隈っぽくて最高よね。
Re: (スコア:0)
デフォルトで巨大な仕様セットが入っているのだけど、使っていい部分は上澄みの一握りだけ、というのがJavaですよね…
標準仕様だからといって新機能に欲を出すと、後からしっぺ返しが…
中身がStrutsな自称自社FWは? (スコア:0)
StrutsをラッピングしたりStrutsに他のFWを組み合わせて
自社製フレームワークとか自社プラットホームとして出回っている
システムも多いけど、セキュリティアップデートってどうするんでしょう。
Re: (スコア:0)
EOL な Struts 1 使って自社フレームワーク使ってる某 N の悪口はやめるんだ!
Re: (スコア:0)
Tなんてフレームワーク存在するの?
Re: (スコア:0)
自社製ったって
自社の社員に構築させるとこは
それほど多くはないのでは?
なので外注さんから
莫大なオプション料金を
ふっかけらるんでないかな
新規システム導入に
目が向くくらいのお値段で