Strutsの脆弱性だそうで・・・
「Struts2だけではなくStruts1でも存在!!」
・・・って、まあ、コアな部分は同じコードを使っていると思われるので
「そりゃそうだろう」
まあ、とはいえなんらか対策が必要だろうから 以下とか、
(1)ITmediaのニュース
http://www.itmedia.co.jp/enterprise/articles/1404/24/news177.html
(2)IPAからたどれるLACの情報(Struts1への対策)
http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html
(3)上記における有志の対策コード
http://www.mbsd.jp/img/testFilter.java
(4)原因等http://qiita.com/kawasima/items/670d2591bc8fea19dc1dhttp://d.hatena.ne.jp/Kango/20140424/1398376155
http://isayan.cocolog-nifty.com/diary/2014/04/s2-021.html
http://aoking.hatenablog.jp/entry/2014/04/25/103105
https://gist.github.com/kawasima/11260616
http://isayan.cocolog-nifty.com/diary/security/
(5)対策にまつわる話
https://github.com/apache/struts1/blob/STRUTS_1_2_BRANCH/src/share/org/apache/struts/util/RequestUtils.java#L493
https://gist.github.com/kawasima/11275430
https://gist.github.com/nakamura-to/11347570
https://gist.github.com/kawasima/c22a1c706656e4004d41
http://security.slashdot.jp/story/14/04/24/0944213/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%BC%81%E6%A5%AD%E3%81%8CStruts%E3%81%AE%E6%9C%AA%E4%BF%AE%E6%AD%A3%E3%81%AE%E8%84%86%E5%BC%B1%E6%80%A7%E6%83%85%E5%A0%B1%E3%81%A8%E3%81%9D%E3%81%AE%E3%83%91%E3%83%83%E3%83%81%E3%82%92%E5%85%AC%E9%96%8B%E3%80%81%E8%AD%B0%E8%AB%96%E3%81%AB%E3%81%AA%E3%82%8B
(6)その他
https://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html
http://www.nca.gr.jp/2014/struts_s20/
http://d.hatena.ne.jp/Kango/20140417/1397750197
なんにしても面倒なものである。
0 件のコメント:
コメントを投稿