パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か」記事へのコメント

  • by Anonymous Coward on 2017年03月11日 16時29分 (#3174674)

    「リモートから任意のコードを実行」なのだから、「まず直ちにシステムを停止せよ」とアナウンスすべきなんじゃ。
    ヤバさがちゃんと伝わってないよ。。

    とか書いても、「じゃあ週明けの月曜日にやりますわ」となりそうな悪漢。

    • by Anonymous Coward on 2017年03月11日 16時36分 (#3174677)
      親コメント
    • by Anonymous Coward

      いくらヤバさが伝わっても、
      「でもそれ(=運用すること)で金もらってるんだから(絶対に止めない)」
      っていう管理職やら経営者やらが多数いる以上、
      どうしようもないでしょうね。

      できることは保身だけ。

    • by Anonymous Coward

      「リモートから任意のコードを実行」と言っても、
      たいていは「悪意あるユーザが○○にアクセスできる状態であれば」
      といった前提条件付きのことも多いし。

      で今回、自分もその類だと思っていて、ファイルアップロード処理が云々とかあるから、
      ファイルアップロードできる状態に限定されるのかとも思っていた。
      StrutsのMLに流れた修正版のリリースアナウンスも、
      "This release addresses one potential security vulnerability" なんて表現になっていた。
      正直、PoCコード見るまで緊急性を感じなかった。

      「直ちにシステムを停止」という言い方が乱用されても困るけど、
      「『直ちにシステムを停止』してもいいぐらいのレベル」であることが伝わる必要があるのは同意。

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...