[Seasar-user:22047] Re: Validator に入力値検査回避の脆弱性

Toshihiro Nakamura [E-MAIL ADDRESS DELETED]
2015年 3月 25日 (水) 16:27:38 JST


中村です。

S2Strutsコミッタです。

S2Strutsの脆弱性対応版のリリースですが、
現在のところ、今週末か来週末に実施予定です。

On Wed, 25 Mar 2015 15:58:02 +0900
[Seasar-user:22044] Re: Validator に入力値検査回避の脆弱性
Koichi Kobayashi <koichik @ improvement.jp> wrote:

> 小林 (koichik) です。
> 
> ・SAStrutsには影響ありません。
> ・S2Strutsには影響があります。
> 
> 公開されている情報があまり詳しくないので、脆弱性の原因とSAStrutsに
> 影響がない理由を詳細に書くのは避けますが、簡単に書くとSAStrutsは
> 以下のコードにより問題のMulti Page Validator機能を使わないように
> しているため、この脆弱性は該当しません。
> 
> https://github.com/seasarorg/sa-struts/blob/master/src/main/java/org/seasar/struts/action/ActionWrapper.java#L178-180
> 
> S2Strutsについては、別途コミッタからアナウンスがあるかと思います。
> 
> 
> 2015年3月25日 13:52  <yuuki_hasemi @ cm.jip.co.jp>:
> > こんにちは。
> >
> >
> >
> > 以下の脆弱性に対して、SAStrutsで何か対策する必要はありますでしょうか。
> >
> >
> >
> > *Validator に入力値検査回避の脆弱性
> >
> > http://jvn.jp/jp/JVN86448949/
> >
> >
> >
> > TERASOLUNAを利用しているわけではないのですが、
> >
> > Apache Struts 1 の Validatorに存在する脆弱性とのことですので、
> >
> > 影響を心配しております。
> >
> >
> >
> > 以上
> >
> >
> >
> > よろしくお願いいたします。
> >
> >
> >
> >
> > _______________________________________________
> > Seasar-user mailing list
> > Seasar-user @ ml.seasar.org
> > https://ml.seasar.org/mailman/listinfo/seasar-user
> >
> _______________________________________________
> Seasar-user mailing list
> Seasar-user @ ml.seasar.org
> https://ml.seasar.org/mailman/listinfo/seasar-user

-- 
Toshihiro Nakamura <nakamura.toshihiro @ isid.co.jp>



Seasar-user メーリングリストの案内