[Seasar-user:21904] Re: Apache Struts 1脆弱性について

Kazuki Aranami [E-MAIL ADDRESS DELETED]
2014年 4月 25日 (金) 15:34:17 JST


どうも(・∀・)キムティ♪です。

今回の脆弱性について、少し調べた結果、時系列にまとめたblogがあったので、
既知かもしれませんが、紹介しておきます。少しでも情報提供となれば幸いです。

ライブラリーとして、Struts1.2.9.jarが同梱されていますが、Struts1.x系は
WindowsXPと同様にサポート対象外(EOL)になっていますから、本家からは
修正パッチは提供されないと考えた方がよさそうですね。


piyolog Strutsの脆弱性CVE-2014-0094について改めてまとめてみた
http://d.hatena.ne.jp/Kango/20140424/1398376155

三井物産セキュアディレクションからは、非公式パッチが提供されています。
http://www.mbsd.jp/news20140422.html



-----------------------------------------------------------
  荒浪 一城(Kazuki Aranami)

  Twitter: http://twitter.com/kimtea
-----------------------------------------------------------


2014年4月25日 13:19 kubo <dbflute @ gmail.com>:
> 久保(jflute)です
>
> 自分もリアルタイムで調べておりました。
> まだ真っ最中なので、確定したものじゃないですが、
> ポイントを共有させて頂きますね。
> (逆に間違っていたらどなたかアドバイスください)
>
> もともとの前提は、ネット上の情報を参照ということを前置きに...
> 問題とされている RequestProcessor の processPopulate() は、
> S2RequestProcessor にてオーバーライドされています。
> なので、RequestUtils.populate() は利用されていません。
>
> SAStrutsでは、ネストしたプロパティを解析するのに、
> BeanDescを利用しているようです。
> S2RequestProcessor.setProperty() にて、
> 再帰的にネストしたプロパティを取得していますが、
> 実際の取得処理を行う getSimpleProperty() にて、
> BeanDesc の PropertyDesc 経由で取得しています。
>
> で、BeanDescImpl の setupPropertyDescs() を見ると、
> getで始まっているメソッドでも methodName.equals("getClass") であれば
> プロパティとして見なさないように判定されています。
>
> 実際に、BeanDescを単体で実行してみても class プロパティは取得できません。
> Webアプリ経由でGETパラメーターを「変なの」にしてやっても、
> getSimpleProperty() は null を戻していました。
> というか、そもそも isReadable() でなければやっぱり null が戻りますし。
> (ただ、実際に試したのは、SAStrutsを拡張したSAFluteですが、
> その部分は何も変わらないので同じはずかと)
>
> というところで、大丈夫なのかなって気もしますが、
> まだ勉強中です。。。
>
> 2014-04-25 12:39 GMT+09:00 ogido E <erisyokin @ hotmail.com>:
>>
>> 以下の脆弱性について、
>> sastrutsで開発したアプリへの影響を調べているところです。
>> http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html
>>
>> どう調べていいのかが分からなくて、悪戦苦闘していますが、
>>
>> 今回指摘されている脆弱性について、
>> そもそもsastrutsで影響はあるのか、
>> ご存知であれば、教えて頂きたいのですが。。。
>>
>> よろしくおねがいします。
>>
>>
>>
>> _______________________________________________
>> Seasar-user mailing list
>> Seasar-user @ ml.seasar.org
>> https://ml.seasar.org/mailman/listinfo/seasar-user
>>
> _______________________________________________
> Seasar-user mailing list
> Seasar-user @ ml.seasar.org
> https://ml.seasar.org/mailman/listinfo/seasar-user


Seasar-user メーリングリストの案内