[Seasar-user:22044] Re: Validator に入力値検査回避の脆弱性
Koichi Kobayashi
[E-MAIL ADDRESS DELETED]
2015年 3月 25日 (水) 15:58:02 JST
小林 (koichik) です。
・SAStrutsには影響ありません。
・S2Strutsには影響があります。
公開されている情報があまり詳しくないので、脆弱性の原因とSAStrutsに
影響がない理由を詳細に書くのは避けますが、簡単に書くとSAStrutsは
以下のコードにより問題のMulti Page Validator機能を使わないように
しているため、この脆弱性は該当しません。
https://github.com/seasarorg/sa-struts/blob/master/src/main/java/org/seasar/struts/action/ActionWrapper.java#L178-180
S2Strutsについては、別途コミッタからアナウンスがあるかと思います。
2015年3月25日 13:52 <yuuki_hasemi @ cm.jip.co.jp>:
> こんにちは。
>
>
>
> 以下の脆弱性に対して、SAStrutsで何か対策する必要はありますでしょうか。
>
>
>
> *Validator に入力値検査回避の脆弱性
>
> http://jvn.jp/jp/JVN86448949/
>
>
>
> TERASOLUNAを利用しているわけではないのですが、
>
> Apache Struts 1 の Validatorに存在する脆弱性とのことですので、
>
> 影響を心配しております。
>
>
>
> 以上
>
>
>
> よろしくお願いいたします。
>
>
>
>
> _______________________________________________
> Seasar-user mailing list
> Seasar-user @ ml.seasar.org
> https://ml.seasar.org/mailman/listinfo/seasar-user
>
Seasar-user メーリングリストの案内