パスワードを忘れた? アカウント作成
9552264 story
セキュリティ

Struts 2の脆弱性を狙った攻撃が増えている 24

ストーリー by hylom
指先ひとつでダウン 部門より
あるAnonymous Coward 曰く、

JPCERTが、Apache Struts の脆弱性 (S2-016) に関する注意喚起を行っている。脆弱性があるサイトに対し、細工した HTTPリクエストを送るだけで任意のOSコマンドが実行されるという、かなり危険な脆弱性だそうで、影響を受ける対象もApache Struts 2.0.0から2.3.15と広い。Apache Struts 2.3.15.1では修正されているとのことなので、利用者は確認のうえアップデートをおすすめする。

なお、Strutsの公式Webサイトには脆弱性の例としてHTTP経由で任意のコマンドを実行させる方法が掲載されているため、簡単に試すことができてしまう(wakatonoの戯れメモ)。注意されたし。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年07月23日 20時00分 (#2426792)

    頻繁に修正されるからセキュリティ問題な起こらない

    というようなことを昔言ってましたね。

    • by Anonymous Coward

      セキュリティ問題が起こらないなら頻繁に修正する必要ないじゃん。そんな論理破綻したことをどこのバカが言ってたの?

  • by Anonymous Coward on 2013年07月23日 12時12分 (#2426434)

    これ、結構ダメージでかいんじゃないかな
    フレームワークバージョンアップしないで使ってるとこ多いでしょ
    struts大好きだもんね、日本の企業は。

    #というか、いまだにver1使ってたりするから逆に安全なのか?

    • フレームワークのバージョンアップの際はリグレッションテストを行うのが普通で、単体レベルはともかくそれより上の層でのテスト自動化が行われているところはほとんどないのでバージョンアップはまずないでしょうね。

      ただ、Strutsとはいっていも日本で人気があったのはStruts1.2までなので、比較的使われているところは少ないのでは。自分もStruts2系よりもStruts1系のほうがいまだに多いのはでと思っています。

      それにしてもPoCをみましたが、本当にお手軽にコマンドラインインジェクションが可能でかなり危険ですね。

      親コメント
      • by Anonymous Coward

        「テストが自動なんて信用できない!」
        「結果はExcelで」

        まあこれが現場ですからねぇ。そりゃバージョンアップしないよねw
        最近サイトで情報抜かれてるのはこれなのかな

        #あー、うちもstruts1系のプロジェクトあるわ…

        • by Anonymous Coward

          はっ?
          結果は紙に赤ペンでチェック後、署名押印だろ?
          Excelなんて偽造可能だし信じられるか!

          #テストの評価はキングファイルの冊数です

          • by Anonymous Coward

            罫線が足らん!!ここの罫線が削れていると上と同じテストパターンで実行されるから
            結果が全く別物になるだろうが!!

            // 言わんとすることも分かるが…

    • by Anonymous Coward

      #というか、いまだにver1使ってたりするから逆に安全なのか?

      Struts1:EOL
      Struts2:脆弱性

      泣くしかない

      • by Anonymous Coward

        きのこる先生が何か言いたそうなふうでこちらを見ています。

      • by Anonymous Coward

        求人見てると、Struts1どころかPHPの案件の方が多くて泣ける。

        以前仕事無いのでしかたなく受けたら、超々糞スパゲッティコードで軽く死ねるレベルだった。

        PHPプログラマーを同じ人間と思わない方がいい。
        奴らは同僚のプログラマーを殺すためなら、どんな汚い手段でも使ってくる。

        • by Anonymous Coward

          PHPに限らず、後からメンテナンスする可能性があるプログラムなのに、メンテナンスのことを考えずにコードを書いて、引き継いだ人が阿鼻叫喚になるケースが多い。

        • by Anonymous Coward

          PHPは規模的にも丸っと書きなおしたほうが早い場合が多いですね。
          設計書どころか仕様書すら存在しないことも珍しくないですし。

    • by Anonymous Coward

      この脆弱性ないよねとサポート解約済みのところから確認依頼がきた・x・

  • by Anonymous Coward on 2013年07月23日 13時26分 (#2426502)

    攻撃難易度や条件は様々だったけど、ここ数年で何回あったんだ。

    • by Anonymous Coward

      表現言語がリフレクションサポートして動的にパラメータかURLからコールできれば
      一発で死んでまいますがな・・・PHP言語と同じですやん

      • by Anonymous Coward

        なにゆえここにぶら下げたのかよく分かんないけどどの言語にも言える話だと思うけども。
        そもそもちょっと問題が違う気が雅が

      • by Anonymous Coward

        素のPHPでこんな事になるか???
        どうやってやるのそれ

  • by Anonymous Coward on 2013年07月23日 15時44分 (#2426602)

    BeanUtilsまでで止めておけばいいものを、
    任意の式を実行できるOGNLなんぞを入力値評価に使うからこうなる。
    便利なのはわかるが、他言語での苦労を振り返って止めようと思わなかったのか。

    • by Anonymous Coward

      なんというか、そこまでやる必要あるか? 無くね? やめようず。っていう判断が出来ず、
      やたら巨大なライブラリを持ってきて、あげく継続的に炎上するのがセンスの無いJava界隈っぽくて最高よね。

      • by Anonymous Coward

        デフォルトで巨大な仕様セットが入っているのだけど、使っていい部分は上澄みの一握りだけ、というのがJavaですよね…
        標準仕様だからといって新機能に欲を出すと、後からしっぺ返しが…

  • by Anonymous Coward on 2013年07月24日 0時38分 (#2426944)

    StrutsをラッピングしたりStrutsに他のFWを組み合わせて
    自社製フレームワークとか自社プラットホームとして出回っている
    システムも多いけど、セキュリティアップデートってどうするんでしょう。

    • by Anonymous Coward

      EOL な Struts 1 使って自社フレームワーク使ってる某 N の悪口はやめるんだ!

      • by Anonymous Coward

        Tなんてフレームワーク存在するの?

    • by Anonymous Coward

      自社製ったって
      自社の社員に構築させるとこは
      それほど多くはないのでは?

      なので外注さんから
      莫大なオプション料金を
      ふっかけらるんでないかな

      新規システム導入に
      目が向くくらいのお値段で

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...