Re:まーたJavaか (#4238735) | 「白紙」の万能署名が作れるJavaの脆弱性「Psychic Signatures」

「「白紙」の万能署名が作れるJavaの脆弱性「Psychic Signatures」」記事へのコメント

記事ページを表示すべてのコメント取得

検索48コメント Log In/Create an Account

まーたJavaか (スコア:0)

by Anonymous Coward

コイツいっつもお漏らししてんな
- Re: (スコア:0)
  
  by Anonymous Coward
  
  セーフなやつを教えてくれw
  マイナーな物はニュースにならないだけで、どの言語、環境でも致命的な問題は常に見つかっているよ。
  - Re: (スコア:2)
    
    by ikotom (20155)
    
    Javaの場合は言語(SDK/ライブラリ)の問題とVMという実行環境の問題がセットになってますから目立つんでしょうね。
    他言語でも、たとえば C/C++であれば glibc の脆弱性が今年はじめに見つかっていますが
    これはWin環境(MSコンパイラ)では影響ありませんから
    C/C++ そのものの脆弱性とは認識されないところがあります。
    https://www.security-next.com/133636 [security-next.com]
    あるいは C# だとVMがある点でJavaと似た感じですが、
    実行環境の脆弱性は Windows update で勝手に対策してくれてる感あって
    Windows自体の脆弱性に紛れている感ありますよね・・・。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      それだけじゃない。
      Java製フレームワークって脆弱性を作り込みやすい危うい設計のものが多い印象。
      例えを単純化すると、ユーザー入力を受け入れる口にそのまま生のSQLを流し込める作りというか。
      - Re: (スコア:2, 興味深い)
        
        by Anonymous Coward
        
        Struts2が脆弱性連発してSpringに移行する流れがあったけど、SpringもELでgetterにアクセスし放題な構造はまったく同じなのでは? と思っていたら案の定だった。
        https://www.scutum.jp/information/waf_tech_blog/2022/04/waf-blog-082.html [scutum.jp]
        今回はSpringのCVE-2022-22965について、それが12年前の脆弱性が蘇ったものであるという点などについて技術的な解説をしてみました。個人的にはStruts2と同じく、外部からgetterやsetterをかなり自由に呼べてしまうという根本的な設計思想そのものが非常に危険だと考えており、自分や自社の開発でSpringを利用すること
        
        Re:まーたJavaか (スコア:0)
        
        by Anonymous Coward on 2022年04月24日 22時21分 (#4238735)
        
        "Bean" 規約が良くなかった。
        publci field が開放されてる物であり、getter/setter でアクセス出来る物は隠蔽されてる物、
        としてFWが設計されていれば getClass() 経由でのアレコレは無かった。
        もうちょっと遡るとOOPでカプセル化の過剰なアゲが良く無かった。
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

「白紙」の万能署名が作れるJavaの脆弱性「Psychic Signatures」 More ログイン

「「白紙」の万能署名が作れるJavaの脆弱性「Psychic Signatures」」記事へのコメント

まーたJavaか (スコア:0)

Re: (スコア:0)

Re: (スコア:2)

Re: (スコア:0)

Re: (スコア:2, 興味深い)

Re:まーたJavaか (スコア:0)

スラド