[Seasar-user:22046] Re: Validator に入力値検査回避の脆弱性

[E-MAIL ADDRESS DELETED] [E-MAIL ADDRESS DELETED]
2015年 3月 25日 (水) 16:23:32 JST


小林(koichik)さん

質問者のハセミです。

ご回答ありがとうございます。
安心できました。

Github上でソースが見れることを初めて知りました。
今後は自身で調べる努力をいたします。

以上

失礼致します。

-----Original Message-----
From: seasar-user-bounces @ ml.seasar.org [mailto:seasar-user-bounces @ ml.seasar.org] On Behalf Of Koichi Kobayashi
Sent: Wednesday, March 25, 2015 3:58 PM
To: seasar-user @ ml.seasar.org
Subject: [Seasar-user:22044] Re: Validator に入力値検査回避の脆弱性

小林 (koichik) です。

・SAStrutsには影響ありません。
・S2Strutsには影響があります。

公開されている情報があまり詳しくないので、脆弱性の原因とSAStrutsに
影響がない理由を詳細に書くのは避けますが、簡単に書くとSAStrutsは
以下のコードにより問題のMulti Page Validator機能を使わないように
しているため、この脆弱性は該当しません。

https://github.com/seasarorg/sa-struts/blob/master/src/main/java/org/seasar/struts/action/ActionWrapper.java#L178-180

S2Strutsについては、別途コミッタからアナウンスがあるかと思います。


2015年3月25日 13:52  <yuuki_hasemi @ cm.jip.co.jp>:
> こんにちは。
>
>
>
> 以下の脆弱性に対して、SAStrutsで何か対策する必要はありますでしょうか。
>
>
>
> *Validator に入力値検査回避の脆弱性
>
> http://jvn.jp/jp/JVN86448949/
>
>
>
> TERASOLUNAを利用しているわけではないのですが、
>
> Apache Struts 1 の Validatorに存在する脆弱性とのことですので、
>
> 影響を心配しております。
>
>
>
> 以上
>
>
>
> よろしくお願いいたします。
>
>
>
>
> _______________________________________________
> Seasar-user mailing list
> Seasar-user @ ml.seasar.org
> https://ml.seasar.org/mailman/listinfo/seasar-user
>
_______________________________________________
Seasar-user mailing list
Seasar-user @ ml.seasar.org
https://ml.seasar.org/mailman/listinfo/seasar-user


Seasar-user メーリングリストの案内