2014/04/27 このエントリーをはてなブックマークに追加 はてなブックマーク - 【Struts脆弱性】サルでも分かるStrutsのClassloader脆弱性(CVE-2014-0094)(CVE-2014-0112)

【Struts脆弱性】サルでも分かるStrutsのClassloader脆弱性(CVE-2014-0094)(CVE-2014-0112)

strutsののClassLoader脆弱性



  • セキュリティがよく分からない。簡単に説明してほしい人。
  • どう対処すれば良いか分からない人。
  • 事情がよくわからないプロマネとかチームリーダーの人。




  • Strutsに脆弱性が発見されました。


    IPA - Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)


    簡単に言うと(対処せずに使用すると)Struts2系とStruts1系はやばい。SAStrutsはOK。S2Strutsはアウト。
    その他にもリクエストパラメーターをリフレクションではめ込むようなFWは全て懸念される事象です。


    何が一番やばいかといったらStruts1系。

    2014/04/20 このエントリーをはてなブックマークに追加 はてなブックマーク - 数の暴力かスタンドプレーか?プログラマーのただしさとは何か (人日と引き換えに)

    数の暴力かスタンドプレーか?プログラマーのただしさとは何か (人日と引き換えに)



    システムには共通部品というものが必ず存在する。
    共通で使う、ということ。
    それはつまり影響範囲が大きい。
    共通部品を直したのに(ここ重要)、各業務で不具合が大量発生したら。。。
    あなたなら何が正しいと思いますか。




    これは、実際にSIの現場であったお話です。