<div dir="ltr">佐々木と申します<div><br></div><div>ひが様のblogではSAStrutsは大丈夫そうということですが、</div><div>当方S2Strutsを導入していますが、こちらはまだ調査待ちという感じでしょうか。</div><div><br></div><div>済みません完全に受身状態になっておりますが、よろしくお願いいたします。</div><div><br></div><div><br></div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">2014年4月25日 15:29 泉井透 <span dir="ltr"><<a href="mailto:toru_izui@evolveit.jp" target="_blank">toru_izui@evolveit.jp</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<a href="http://d.hatena.ne.jp/higayasuo/" target="_blank">http://d.hatena.ne.jp/higayasuo/</a><br>
<br>
同脆弱性について、ひがさんがブログで書いているようです。<br>
<br>
2014年4月25日 13:19 kubo <<a href="mailto:dbflute@gmail.com">dbflute@gmail.com</a>>:<br>
<div class="HOEnZb"><div class="h5">> 久保(jflute)です<br>
><br>
> 自分もリアルタイムで調べておりました。<br>
> まだ真っ最中なので、確定したものじゃないですが、<br>
> ポイントを共有させて頂きますね。<br>
> (逆に間違っていたらどなたかアドバイスください)<br>
><br>
> もともとの前提は、ネット上の情報を参照ということを前置きに...<br>
> 問題とされている RequestProcessor の processPopulate() は、<br>
> S2RequestProcessor にてオーバーライドされています。<br>
> なので、RequestUtils.populate() は利用されていません。<br>
><br>
> SAStrutsでは、ネストしたプロパティを解析するのに、<br>
> BeanDescを利用しているようです。<br>
> S2RequestProcessor.setProperty() にて、<br>
> 再帰的にネストしたプロパティを取得していますが、<br>
> 実際の取得処理を行う getSimpleProperty() にて、<br>
> BeanDesc の PropertyDesc 経由で取得しています。<br>
><br>
> で、BeanDescImpl の setupPropertyDescs() を見ると、<br>
> getで始まっているメソッドでも methodName.equals("getClass") であれば<br>
> プロパティとして見なさないように判定されています。<br>
><br>
> 実際に、BeanDescを単体で実行してみても class プロパティは取得できません。<br>
> Webアプリ経由でGETパラメーターを「変なの」にしてやっても、<br>
> getSimpleProperty() は null を戻していました。<br>
> というか、そもそも isReadable() でなければやっぱり null が戻りますし。<br>
> (ただ、実際に試したのは、SAStrutsを拡張したSAFluteですが、<br>
> その部分は何も変わらないので同じはずかと)<br>
><br>
> というところで、大丈夫なのかなって気もしますが、<br>
> まだ勉強中です。。。<br>
><br>
> 2014-04-25 12:39 GMT+09:00 ogido E <<a href="mailto:erisyokin@hotmail.com">erisyokin@hotmail.com</a>>:<br>
>><br>
>> 以下の脆弱性について、<br>
>> sastrutsで開発したアプリへの影響を調べているところです。<br>
>> <a href="http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html" target="_blank">http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html</a><br>
>><br>
>> どう調べていいのかが分からなくて、悪戦苦闘していますが、<br>
>><br>
>> 今回指摘されている脆弱性について、<br>
>> そもそもsastrutsで影響はあるのか、<br>
>> ご存知であれば、教えて頂きたいのですが。。。<br>
>><br>
>> よろしくおねがいします。<br>
>><br>
>><br>
>><br>
>> _______________________________________________<br>
>> Seasar-user mailing list<br>
>> <a href="mailto:Seasar-user@ml.seasar.org">Seasar-user@ml.seasar.org</a><br>
>> <a href="https://ml.seasar.org/mailman/listinfo/seasar-user" target="_blank">https://ml.seasar.org/mailman/listinfo/seasar-user</a><br>
>><br>
> _______________________________________________<br>
> Seasar-user mailing list<br>
> <a href="mailto:Seasar-user@ml.seasar.org">Seasar-user@ml.seasar.org</a><br>
> <a href="https://ml.seasar.org/mailman/listinfo/seasar-user" target="_blank">https://ml.seasar.org/mailman/listinfo/seasar-user</a><br>
<br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
エボルブアイティワークス株式会社<br>
泉井 透 toru izui<br>
SkypeID:izui.toru<br>
<a href="http://www.evolveit.jp" target="_blank">http://www.evolveit.jp</a><br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
Seasar-user mailing list<br>
<a href="mailto:Seasar-user@ml.seasar.org">Seasar-user@ml.seasar.org</a><br>
<a href="https://ml.seasar.org/mailman/listinfo/seasar-user" target="_blank">https://ml.seasar.org/mailman/listinfo/seasar-user</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr"><div style="font-family:arial;font-size:small">------------</div><span style="font-family:arial;font-size:small"><Isao SASAKI/佐々木功 /></span><div style="font-family:arial;font-size:small">
<div> <blog><a href="http://ameblo.jp/isao-sasaki" style="color:rgb(17,85,204)" target="_blank">http://ameblo.jp/isao-sasaki</a></blog></div><div> <twitter>@sasa_san</twitter></div><div><br></div>
</div></div>
</div>