Apache Struts 2にリモートからの任意コード実行を許す脆弱性 20
ストーリー by hylom
またStrutsか 部門より
またStrutsか 部門より
あるAnonymous Coward曰く、
JavaベースのWebアプリケーションフレームワークApache Strutsに深刻な脆弱性が発見された(JVNVU#93610402、piyolog)。
対象はApache Struts 2.3.5~2.3.31および2.5~2.5.10。Jakarta Multipart parserの処理に不具合があり、multipart/form-dataが文字列として含まれる不正なリクエストを送信することで、リモートから任意のコードを実行できる可能性があるという。
Struts 2はOGNLという独自の言語でJavaオブジェクトを操作できる機能を備えており、しばしばOGNLが原因の脆弱性が発見されていたが、今回もOGNL周りの問題のようで、Content-Typeヘッダ内に細工したOGNKを入れるだけで攻撃できてしまう模様。
ちなみにStrutsについては2014年にセキュリティ的には相当にダメな部類などと指摘されていた。
細工したOGNL (スコア:0)
お、ここにも細工したOGNLが混入しているようだ。
Re: (スコア:0)
脆弱なTypoヘッドですね。
Add more struts (スコア:0)
名前から筋が悪いというのは珍しい
Re: (スコア:0)
マイミクを追加する
みたいなもんか
なんというか (スコア:0)
「またStrutsか…」と言いたくなった。
脆弱性が報告されるのはいいことだが・・・ (スコア:0)
なぜそのコードでは駄目なのか、どうして脆弱性になるのか、どうすれば脆弱性を取り除けるのかを
もっといろんな人が詳しく解説してくれればさらに安全性の高いコードが書けるようになり脆弱性の発見も増えると思うのですが
その辺の初心者向けの情報が少ない気がします
Re:脆弱性が報告されるのはいいことだが・・・ (スコア:4, 参考になる)
学ぶ気も探す気もないだけでは?IPAだけでこんなに公開していますし、企業や個人がセキュリティについてブログ等でまとめている物も幾らでもありますし、書籍も幾らでもありますよ。
安全なウェブサイトの構築と運用管理に向けての16ヶ条 ~セキュリティ対策のチェックポイント~ [ipa.go.jp]
知っていますか?脆弱性 (ぜいじゃくせい) [ipa.go.jp]
安全なウェブサイトの作り方[pdf] [ipa.go.jp]
セキュア・プログラミング講座 [ipa.go.jp]
Web Application Firewall 読本 [ipa.go.jp]
ウェブサイト運営者のための脆弱性対応ガイド[pdf] [ipa.go.jp]
ウェブサイト構築事業者のための脆弱性対応ガイド[pdf] [ipa.go.jp]
セキュリティ担当者のための脆弱性対応ガイド[pdf] [ipa.go.jp]
ウェブサイトにおける脆弱性検査手法の紹介 [ipa.go.jp]
全部検索すればすぐにでてきますよ。
Re:脆弱性が報告されるのはいいことだが・・・ (スコア:1)
初心者はまず学ぶ気と探す気を育てろということだな。
Re: (スコア:0)
これはいい煽り。
Re:脆弱性が報告されるのはいいことだが・・・ (スコア:2, 興味深い)
Struts知らないのでアレですが、Parserがらみで推測するに適切に文字列をエスケープできてなかったということが今回の争点のはず。
たとえばこのスラドのコメント欄にはHTML形式である程度文章を装飾できる機能がありますが、
なんでもかんでもタグを受け入れていたら、サイトの構造が破壊されてしまいます。
なので実行できる=タグとして認識する文字列(のフォーマット)を限定するわけですが、それと同様の対策行為が、Strutsの場合は甘かったというのが今回の問題ではないかと。
もっとも、このStrutsというのは大元の設計自体がアレなのでParseでどうにかなるレベルではないということらしいです……。
Re: (スコア:0)
Strutsは設計以前にコンセプトの段階がすでにアレなので…
開発開始時点の状況であれば仕方がないところなのかな
Re: (スコア:0)
その手の専門書は山ほどありますし、ググれば入門ページのようなものはいくらでも出てきますよ。
「その辺の初心者はそういった情報にたいして興味なく、
能動的に啓蒙できるような手段も動機もとくにない」
というのが唯一最大の問題でしょう。
プログラム開発を資格制にでもするしか…。
Re: (スコア:0)
個人的にはマネージャー側を資格制にして欲しいですね。
セキュリティうんぬんの重要性を説いても、
マネージャーで止まって改善はされなかった経験があるもので。
いまのStruts 2はいいぞ (スコア:0)
みんな国内大手SIerのStruts1ベースのオレオレフレームワークに泣かされたトラウマがあるから嫌われてるが
いまのStruts2はいいぞぉ。
conventionプラグインとRESTプラグインが来てから、もっと言うとstruts2-archetype-angularjs以降は
本当に変わった。railsやexpressで開発してるぐらいに手早くWebシステムを起こせるようになった。
Re:いまのStruts 2はいいぞ (スコア:1)
こんだけ致命的な脆弱性が頻発してるのに良いわけないだろカス
Re:いまのStruts 2はいいぞ (スコア:1)
それいったらSpring Web Flowでも同じでねえか!
Re: (スコア:0)
Re: (スコア:0)
都税関連やられたな
Re: (スコア:0)
国税もGMOペイメントでJava製だけど大丈夫なのか?
【悲報】GMO-PGがやられた (スコア:0)
Struts2の都税サイト等からクレジットカード番号約72万件が流出か [srad.jp]
タレこんできた。個々のショップならともかく決済サービスへの不正アクセスはやべえええええ
これスラド諸氏にも被害者多いんじゃね?(怖