Struts2が危険である理由
はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月(およそ3年前)に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成
Java ゼロデイ脆弱性への修正プログラムに偽装した不正プログラムを確認 | トレンドマイクロ セキュリティブログ
2013年1月上旬、Java に存在する新たなゼロデイ脆弱性に対応する緊急修正プログラムが公開され、ユーザはすぐに適用するようにお知らせしました。ユーザは、必ず信頼できる配信元からこの修正プログラムを入手してください。さもなければ、不正プログラムの感染被害に遭遇する可能性があります。 Oracle は、2013年1月14日(米国時間1月13日)、話題となった脆弱性「CVE-2012-3174」に対する修正プログラムを公開しました。しかし、米国土安全保障省を含む特定の部門が発表するように、トレンドマイクロでも引き続きJava を無効にしておくといった対応策を推奨しています。 トレンドラボは、身元不明の作者によって作成され、Java 7 の最新の修正プログラム「Update 11」として装う不正プログラムに関する報告を受けました。問題の偽修正プログラムは、トレンドマイクロの製品では、「JAVA
必要なければJavaは無効に――今後も攻撃は続くと米機関が予想
どうしてもJavaを実行する必要がない限りは無効にするようUS-CERTは助言する。今回修正されたのは、攻撃に利用されていた2件の脆弱性のうちの1件にすぎないとの指摘もある。 Javaの未解決の脆弱性を突く攻撃が横行したことを受け、セキュリティ業界では今後も同様の攻撃が続くと予想、Javaを無効にするよう呼び掛ける動きが広がっている。 米Oracleは1月13日に「Java 7 Update 11」を臨時公開し、攻撃に利用されていた脆弱性も含めて2件の脆弱性に対処した。1月上旬の時点でこの脆弱性を突く攻撃が横行し、悪名高い攻撃用ツールキットにもこの脆弱性を悪用するコードが実装されていた。 米US-CERTはOracleのアップデート公開を受けて、14日付でセキュリティ情報を改訂。解決策として、Java 7 Update 11へのアップデートを促した。同時に、「Java 7 Update 1
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
