<div dir="ltr">佐々木と申します<div><br></div><div>ひが様のblogではSAStrutsは大丈夫そうということですが、</div><div>当方S2Strutsを導入していますが、こちらはまだ調査待ちという感じでしょうか。</div><div><br></div><div>済みません完全に受身状態になっておりますが、よろしくお願いいたします。</div><div><br></div><div><br></div> </div><div class="gmail_extra"><br><br><div class="gmail_quote">2014年4月25日 15:29 泉井透 <span dir="ltr"><<a href="mailto:toru_izui@evolveit.jp" target="_blank">toru_izui@evolveit.jp</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> <a href="http://d.hatena.ne.jp/higayasuo/" target="_blank">http://d.hatena.ne.jp/higayasuo/</a><br> <br> 同脆弱性について、ひがさんがブログで書いているようです。<br> <br> 2014年4月25日 13:19 kubo <<a href="mailto:dbflute@gmail.com">dbflute@gmail.com</a>>:<br> <div class="HOEnZb"><div class="h5">> 久保(jflute)です<br> ><br> > 自分もリアルタイムで調べておりました。<br> > まだ真っ最中なので、確定したものじゃないですが、<br> > ポイントを共有させて頂きますね。<br> > (逆に間違っていたらどなたかアドバイスください)<br> ><br> > もともとの前提は、ネット上の情報を参照ということを前置きに...<br> > 問題とされている RequestProcessor の processPopulate() は、<br> > S2RequestProcessor にてオーバーライドされています。<br> > なので、RequestUtils.populate() は利用されていません。<br> ><br> > SAStrutsでは、ネストしたプロパティを解析するのに、<br> > BeanDescを利用しているようです。<br> > S2RequestProcessor.setProperty() にて、<br> > 再帰的にネストしたプロパティを取得していますが、<br> > 実際の取得処理を行う getSimpleProperty() にて、<br> > BeanDesc の PropertyDesc 経由で取得しています。<br> ><br> > で、BeanDescImpl の setupPropertyDescs() を見ると、<br> > getで始まっているメソッドでも methodName.equals("getClass") であれば<br> > プロパティとして見なさないように判定されています。<br> ><br> > 実際に、BeanDescを単体で実行してみても class プロパティは取得できません。<br> > Webアプリ経由でGETパラメーターを「変なの」にしてやっても、<br> > getSimpleProperty() は null を戻していました。<br> > というか、そもそも isReadable() でなければやっぱり null が戻りますし。<br> > (ただ、実際に試したのは、SAStrutsを拡張したSAFluteですが、<br> > その部分は何も変わらないので同じはずかと)<br> ><br> > というところで、大丈夫なのかなって気もしますが、<br> > まだ勉強中です。。。<br> ><br> > 2014-04-25 12:39 GMT+09:00 ogido E <<a href="mailto:erisyokin@hotmail.com">erisyokin@hotmail.com</a>>:<br> >><br> >> 以下の脆弱性について、<br> >> sastrutsで開発したアプリへの影響を調べているところです。<br> >> <a href="http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html" target="_blank">http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html</a><br> >><br> >> どう調べていいのかが分からなくて、悪戦苦闘していますが、<br> >><br> >> 今回指摘されている脆弱性について、<br> >> そもそもsastrutsで影響はあるのか、<br> >> ご存知であれば、教えて頂きたいのですが。。。<br> >><br> >> よろしくおねがいします。<br> >><br> >><br> >><br> >> _______________________________________________<br> >> Seasar-user mailing list<br> >> <a href="mailto:Seasar-user@ml.seasar.org">Seasar-user@ml.seasar.org</a><br> >> <a href="https://ml.seasar.org/mailman/listinfo/seasar-user" target="_blank">https://ml.seasar.org/mailman/listinfo/seasar-user</a><br> >><br> > _______________________________________________<br> > Seasar-user mailing list<br> > <a href="mailto:Seasar-user@ml.seasar.org">Seasar-user@ml.seasar.org</a><br> > <a href="https://ml.seasar.org/mailman/listinfo/seasar-user" target="_blank">https://ml.seasar.org/mailman/listinfo/seasar-user</a><br> <br> <br> <br> </div></div><span class="HOEnZb"><font color="#888888">--<br> エボルブアイティワークス株式会社<br> 泉井　透　toru izui<br> SkypeID:izui.toru<br> <a href="http://www.evolveit.jp" target="_blank">http://www.evolveit.jp</a><br> </font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br> Seasar-user mailing list<br> <a href="mailto:Seasar-user@ml.seasar.org">Seasar-user@ml.seasar.org</a><br> <a href="https://ml.seasar.org/mailman/listinfo/seasar-user" target="_blank">https://ml.seasar.org/mailman/listinfo/seasar-user</a><br> </div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr"><div style="font-family:arial;font-size:small">------------</div><span style="font-family:arial;font-size:small"><Isao SASAKI/佐々木功 /></span><div style="font-family:arial;font-size:small"> <div> <blog><a href="http://ameblo.jp/isao-sasaki" style="color:rgb(17,85,204)" target="_blank">http://ameblo.jp/isao-sasaki</a></blog></div><div> <twitter>@sasa_san</twitter></div><div><br></div> </div></div> </div>