パスワードを忘れた? アカウント作成
13183224 story
インターネット

Apache Struts 2にリモートからの任意コード実行を許す脆弱性 20

ストーリー by hylom
またStrutsか 部門より
あるAnonymous Coward曰く、

JavaベースのWebアプリケーションフレームワークApache Strutsに深刻な脆弱性が発見された(JVNVU#93610402piyolog)。

対象はApache Struts 2.3.5~2.3.31および2.5~2.5.10。Jakarta Multipart parserの処理に不具合があり、multipart/form-dataが文字列として含まれる不正なリクエストを送信することで、リモートから任意のコードを実行できる可能性があるという。

Struts 2はOGNLという独自の言語でJavaオブジェクトを操作できる機能を備えており、しばしばOGNLが原因の脆弱性が発見されていたが、今回もOGNL周りの問題のようで、Content-Typeヘッダ内に細工したOGNKを入れるだけで攻撃できてしまう模様。

ちなみにStrutsについては2014年にセキュリティ的には相当にダメな部類などと指摘されていた。

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...