JavaBeansに対するリフレクションとClassLoader脆弱性 - ひがやすを技術ブログ

今回の問題は、(SA)Strutsだけの問題ではなく、いろんなフレームワークでもちゃんと調べた方が良い話しなので、もう少し詳しく書いておきます。 Javaで、JavaBeansのプロパティにアクセスする場合、 PropertyDescriptor[] descriptors = Introspector.getBeanInfo(クラス).getPropertyDescriptors();で取得できるPropertyDescriptorを使うことがほとんどです。この中に、classプロパティは含まれます。 ここまでは良くて、ネストしたリクエストパラメータ(class.classLoader.xxxなど)をJavaBeansにセットする時に、BeanInfo.getPropertyDescriptors()で取得したものをそのまま使うのが問題なのです。 Seasar2(BeanDesc)では、

[tmatsuu]

StrutsだけでなくSpringなど他のフレームワークにも影響がある可能性。ふむ。

[asuka0801]

StrutsだけじゃなくてJavaBeans使ってるFramework全般危ないんじゃないの

[tsupo]

今回の問題は、(SA)Strutsだけの問題ではなく、いろんなフレームワークでもちゃんと調べた方が良い / ネストしたリクエストパラメータをセットする時に、BeanInfo.getPropertyDescriptors()で取得したものをそのまま使うのが問題

[mickn]

どんどん広がっている

[kimutansk]

「BeanUtilsにパッチを当てて、classプロパティとObjectのプロパティを対象外にする」が根本対処ですか。

[YaSuYuKi]

念のためパッチを当てておこう。問題の生じる可能性のある使い方は把握している限りではしていないが

[ockeghem]

『commons BeanUtilsを使っている場合は…BeanUtilsにパッチを当てて、classプロパティとObjectのプロパティを対象外にするのが、根本的な対応だと思います』