パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セキュリティ企業がStrutsの未修正の脆弱性情報とそのパッチを公開、議論になる」記事へのコメント

  • サポートが終了している以上、自己責任による対処が大原則。自分でソースをいじるしかないわけですが。

    Struts側にあれこれ手を加えるより、Apache CommonsのBeanUtilsのほうを修正したほうがよさげかな。"class"というプロパティでObject#getClass()を呼び出せてしまう、という挙動を殺すのが一番てっとりばやいか。

    • by Anonymous Coward on 2014年04月26日 9時41分 (#2589291)

      これStrutsだけの問題かと思いきや、BeanUtils使ってるフレームワークは全部起きる可能性があるということで、そこらじゅうに延焼してる雰囲気。
      Struts1やBeanUtilsなんて枯れきってると思ってたのにヤバい。

      親コメント

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...