2014/04/27 このエントリーをはてなブックマークに追加 はてなブックマーク - 【Struts脆弱性】サルでも分かるStrutsのClassloader脆弱性(CVE-2014-0094)(CVE-2014-0112)

【Struts脆弱性】サルでも分かるStrutsのClassloader脆弱性(CVE-2014-0094)(CVE-2014-0112)

カテゴリ: ,


2019/07/05追記:
7payの件はStrutsの脆弱性全く関係ありません。




strutsののClassLoader脆弱性



  • セキュリティがよく分からない。簡単に説明してほしい人。
  • どう対処すれば良いか分からない人。
  • 事情がよくわからないプロマネとかチームリーダーの人。




  • Strutsに脆弱性が発見されました。


    IPA - Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)


    簡単に言うと(対処せずに使用すると)Struts2系とStruts1系はやばい。SAStrutsはOK。S2Strutsはアウト。
    その他にもリクエストパラメーターをリフレクションではめ込むようなFWは全て懸念される事象です。


    何が一番やばいかといったらStruts1系。

    GA