パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

影響範囲が広がるApache Struts2の脆弱性」記事へのコメント

  • by Anonymous Coward

    Microsoftの.Net Framework(ASP.Net)は脆弱性あっても
    ここまで大規模に被害が報告されることが少ないよね?

    ただ単に採用例が少ないのか、
    サーバとはいえ半ば強制的にパッチをあてる仕組みが優秀なのか、
    GUIぽちぽちクリックするだけでアップデートが完了するのが優秀なのか。

    どれでしょう?

    • by Anonymous Coward on 2017年03月21日 20時20分 (#3180026)

      Java使いのセンスが悪いだけでしょう

      親コメント
      • Re:.Net Framework (スコア:5, 興味深い)

        by Anonymous Coward on 2017年03月21日 20時38分 (#3180039)

        Java使いのセンスが悪いだけでしょう

        Javaのセンスが悪い…のではなくStruts2の基盤の一つであるOGNLが全ての原因なんですよね。

        OGNLとは(ざっくり言うと)文字列をJavaの式として評価できるライブラリです(構文とかは違うけどもやれることは同じ)
        いわば他言語で言うところのevalにあたるもので、便利な一方で慎重に使わないとセキュリティリスクに直結する非常に危険な代物です。

        そんなevalに相当する恐ろしいものがStruts2では設定ファイルを始め(今回問題になった)ログのフォーマットや動的なHTML(JSP)生成に使われたりと広範囲に利用されています。
        このようにStruts2にはOGNLを基盤に使うという根本的にセキュリティリスクのある設計になっているため今後も同種の脆弱性は出続けるでしょう。
        最善の策はStruts2の利用を止めることですね。
        https://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html [scutum.jp]

        親コメント
        • PHPとかその他の動的言語を使うのって全ソースファイルを毎回evalしているも同然なわけでちょっと正気を疑いたくなるんですけど、どういうことなんでしょうね。

          • by Anonymous Coward

            Struts2はまさにその動的言語的なことをやりたくて頑張っちゃったらご覧の有様ということですね

          • by Anonymous Coward

            マスカッツの脆弱性を突きたいでござるの巻

          • by Anonymous Coward

            動的言語がセキュリティを意識していないとか、
            インタプリタの時代で認識が止まってるのかな

            • by Anonymous Coward

              こないだのwordpressの脆弱性とかみていると、それも疑わしい

          • by Anonymous Coward

            Struts2はただの動的言語で作られたアプリでなく、外部入力パラメータとか色々な変数をマトモに検証しないでevalしまくってるセキュリティ的にタコい動的言語アプリと同レベルだからですよ。

          • by Anonymous Coward

            マネージャー側は、まさにPHPを使わせたくないからJavaをチョイスしているのに、
            フレームワーク側でそれを破られるのは痛いわな。。

        • Re: (スコア:0, 荒らし)

          by Anonymous Coward

          つまり、Java使いのセンスが悪いってことですね

          • by Anonymous Coward

            そういうことにしてしまうお前のセンスはもっと悪いけどな

        • Re: (スコア:0, 荒らし)

          by Anonymous Coward

          要するにJava使いのセンスが無かったってことですな

        • by Anonymous Coward

          とどのつまり、Java使いのセンスが悪いって事やね

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...