パスワードを忘れた? アカウント作成
Close
10915583 story
セキュリティ

セキュリティ企業がStrutsの未修正の脆弱性情報とそのパッチを公開、議論になる 26

ストーリー by hylom
圧力 部門より
あるAnonymous Coward 曰く、

2014年3月に対策が行われたApache Strutsの脆弱性CVE-2014-0094について、この対策が不十分であり、脆弱性がまだ存在していることをセキュリティ診断などを行う三井物産セキュアディレクションが発表した。同時に、暫定対応を行うコードも公開されている。

しかし、まだ修正されていない脆弱性の存在を発表したことに対し批判する声も出ている。また、Strutsのセキュリティ体勢はどうしようもないという話も出ている(WAF Tech Blog:例えば、Strutsを避ける)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セキュリティ企業がStrutsの未修正の脆弱性情報とそのパッチを公開、議論になる More

  • 今問題なのはまだApache Struts 1を使っている企業があることでは? (スコア:2, 参考になる)

    by Anonymous Coward on 2014年04月24日 19時38分 (#2588500)

    LACが注意喚起 [lac.co.jp]しています。
    LAC曰く「政府機関や金融機関のホームページでいまだ大量稼働している」とのこと。

  • 公開して何が悪いのか? (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2014年04月24日 22時41分 (#2588571)

    全く未知の脆弱性を公開するのは兎も角、
    開発側が直したと主張した脆弱性が直ってないのは、
    脆弱性を突かれる可能性が非常に高いので周知させるのはありだと思う

    • Re: (スコア:0)

      by Anonymous Coward

      「直ったというけど直ってないじゃないか」って気付いても
      ブログに書いたりツイートしたりしたらアウトなんですかねえ。
      これも「隠すことによるセキュリティ」?

      • Re: (スコア:0)

        by Anonymous Coward

        脆弱性を悪用する奴は、直っていようが直っていまいが、同じように攻撃をするだけなので、公表しないリスクより公表するリスクのほうが注意喚起する分だけ低くなりますよね。

  • こういうのって、日本国内だとIPAとかJPCERT/CCとかが仲立ちして
    コントロールするのが通例だと思ってたんだけど、こういう横紙破り的なのもありなのね…。

  • "There is no honour amongst hackers any more." [seclists.org]

    彼らがhackerなのかは微妙だが。
    しかし日本の企業、それも大資本に連なる会社がこれをやったってのは驚き。しっかりした考えあってやったことなら、賛否は人それぞれ考えるとして、骨があっていいと思う。今度MBSDに仕事の打診をしてみようかな。貧乏お断りって言われそうだけど。
    世間の流れに漂うような批判なんて気にしなくていいんじゃないかな。まあ、プロなんでそうも行かないかも知れないが。(公開した方がいいよ、と言っているわけではないよ)

    • Apache側が対応する前に公表したのを問題視され、ボロクソ言われてるみたいだけど、回避策も提示してるのだかそこまで言われるようなものじゃないですね。
      ただ、他の企業もこれに続いてほしい、と言えるような事でもないです。色んな企業が好き勝手に脆弱性を公表したらカオスですから。
      ちなみに彼らが公開したのは修正パッチではなく回避策です。これはフィルターという物で、噛ましておけば攻撃を無効化できるってものです。

      シェア
      親コメント

    • Re: (スコア:0)

      by Anonymous Coward

      >しっかりした考えあってやったことなら

      そりゃあ、しっかりした考えがあればいいでしょうけど、ありますかね。
      脆弱性を発見したオレすげーっていいたいだけちゃうんかと。

  • >まだ修正されていない脆弱性の存在を発表したことに対し批判する声も出ている

    【MBSD: 2014/4/22】
    弊社では、Apache Struts2の窓口であるApache Software Foundationには連絡をし、公式な対応待ちです。
    (略)
    公式な対応が発表されるまでの暫定対応策として作成した、サーブレットフィルタのソースコードを公開致します。

    【IPA: 最終更新日:2014年4月17日】
    この脆弱性を攻撃するコードが公開されているという情報提供があり
    (略)
    Apache Software Foundation から対策済みのバージョンである 2.3.16.1 が公開されています。早急なアップデートを検討して下さい。

    @ITの記事( http://www.atmarkit.co.jp/ait/articles/1404/17/news158.html [atmarkit.co.jp] )でも
    >対策は前述の通り、脆弱性を修正したApache Struts 2.3.16.1にバージョンアップすること。
    とあるので。 17日時点で公式対応版が出ていることに間違いないはず。
    すると……MBSDが「まだ修正されていない脆弱性の存在を発表した」なんて話には、なりません。

    何かしらの都合で17日以前のものが22日となっている場合を除けば…。
    既に対応されていたのだけれどもMBSDがその事実を知らず、22日付けで暫定対応版を公開してしまった。
    という話ですかね?

    --
    ==========================================
    投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……

    • Re:MBSD側がなんだかおかしいぞ。 (スコア:1)

      by Anonymous Coward on 2014年04月24日 19時32分 (#2588496)

      IPA や @IT の記事は、3/6 にリリースされた 2.3.16.1 にバージョンアップしてくださいという話で、MBSD は更にこの 2.3.16.1 にも脆弱性があると言っていると思いますよ!

      シェア
      親コメント

      • ・2014年3月に対策されたバージョン 2.3.16.1 が公開されました。この脆弱性を攻撃するコードが公開されているという情報提供があり
        ・対策済みのバージョンである 2.3.16.1
        あたりで混乱していたようだ。
        そうだよな。2.3.16.1に対策が入ったら2.3.16.2にするよな、普通。

        よし。疲れてるんだ。
        オーバーワークするって決めてたけど。帰ろう!

        --
        ==========================================
        投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
        シェア
        親コメント

    • Re:MBSD側がなんだかおかしいぞ。 (スコア:1)

      by Anonymous Coward on 2014年04月24日 19時33分 (#2588497)

      MBSDは「2.3.16.1」の脆弱性を指摘しています.

      --------------------
      Apache Strutsのバージョン(2.0.0)から(2.3.16)には、ClassLoaderを操作される脆弱性が存在し、2014年3月に対策されたバージョン(2.3.16.1)が公開されました。
      しかし、このバージョン(2.3.16.1)に対して修正が不十分であるため、未だClassLoaderを操作される脆弱性が存在しており、現在も未対応の状態です。
      --------------------

      シェア
      親コメント

  • そもそも初版では (スコア:1)

    by Anonymous Coward on 2014年04月24日 22時41分 (#2588572)

    手元に魚拓が残ってないのであれだけど公開直後の記事では対応版のソースコードすらなく
    「ゼロデイあるよ。うちの製品(MBSD-SOC)だけはとりあえず検知できるよ」って記述だったので
    何考えてんの?って話になってたような。
    今の版でも暫定対応版ソースコードからexploit導出されるリスクあるのにいきなり公開しちゃっていいの??って点は気になりますが。

  • まー、いつもの物産ですね (スコア:0)

    by Anonymous Coward on 2014年04月24日 22時55分 (#2588582)
    それ以外の感想は何もないです。

  • ようは、ブラックラグーンみたいなのを (スコア:0)

    by Anonymous Coward on 2014年04月25日 5時59分 (#2588636)

    期待しているんですね、みなさん。

    きっかけから、後始末まで、何でも商いにするのが、商人ですから。

    事実が発露しなければ、誰も責めません。普通の企業ですら、粉飾決算が恒例行事ですし。
    物の値段が釣りあがっても、値崩れしても、利益を出すのが商いです。

  • さーて、どう直すか (スコア:0)

    by Anonymous Coward on 2014年04月25日 9時21分 (#2588713)

    サポートが終了している以上、自己責任による対処が大原則。自分でソースをいじるしかないわけですが。

    Struts側にあれこれ手を加えるより、Apache CommonsのBeanUtilsのほうを修正したほうがよさげかな。"class"というプロパティでObject#getClass()を呼び出せてしまう、という挙動を殺すのが一番てっとりばやいか。

    • Re:さーて、どう直すか (スコア:1)

      by Anonymous Coward on 2014年04月25日 16時52分 (#2589004)

      commons-beanutils.jarの

      public static Object getSimpleProperty(Object bean, String name)

      if (name.equals("class") || name.equals("Class")) throw new IllegalArgumentException("`class` property");

      を追加したら、POCは動かなくなった。これでいくか。

      シェア
      親コメント

    • Re: (スコア:0)

      by Anonymous Coward

      これStrutsだけの問題かと思いきや、BeanUtils使ってるフレームワークは全部起きる可能性があるということで、そこらじゅうに延焼してる雰囲気。
      Struts1やBeanUtilsなんて枯れきってると思ってたのにヤバい。

  • 何が悪い? (スコア:0)

    by Anonymous Coward on 2014年04月25日 9時27分 (#2588718)

    タダでデバッグしてくれる連中がいるからと低品質なソフトを粗製濫造したつけが回ってきただけでしょう。

    • Re: (スコア:0)

      by Anonymous Coward

      タダでデバッグしてくれる連中がいるからと(低品質なソフトを|粗製)濫造したつけが回ってきただけでしょう。

  • ちょっと… (スコア:0)

    by Anonymous Coward on 2014年04月26日 5時38分 (#2589255)

    ちょっと、キッズステーション解約してくるは。

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs