[Seasar-user:22047] Re: Validator に入力値検査回避の脆弱性
Toshihiro Nakamura
[E-MAIL ADDRESS DELETED]
2015年 3月 25日 (水) 16:27:38 JST
中村です。
S2Strutsコミッタです。
S2Strutsの脆弱性対応版のリリースですが、
現在のところ、今週末か来週末に実施予定です。
On Wed, 25 Mar 2015 15:58:02 +0900
[Seasar-user:22044] Re: Validator に入力値検査回避の脆弱性
Koichi Kobayashi <koichik @ improvement.jp> wrote:
> 小林 (koichik) です。
>
> ・SAStrutsには影響ありません。
> ・S2Strutsには影響があります。
>
> 公開されている情報があまり詳しくないので、脆弱性の原因とSAStrutsに
> 影響がない理由を詳細に書くのは避けますが、簡単に書くとSAStrutsは
> 以下のコードにより問題のMulti Page Validator機能を使わないように
> しているため、この脆弱性は該当しません。
>
> https://github.com/seasarorg/sa-struts/blob/master/src/main/java/org/seasar/struts/action/ActionWrapper.java#L178-180
>
> S2Strutsについては、別途コミッタからアナウンスがあるかと思います。
>
>
> 2015年3月25日 13:52 <yuuki_hasemi @ cm.jip.co.jp>:
> > こんにちは。
> >
> >
> >
> > 以下の脆弱性に対して、SAStrutsで何か対策する必要はありますでしょうか。
> >
> >
> >
> > *Validator に入力値検査回避の脆弱性
> >
> > http://jvn.jp/jp/JVN86448949/
> >
> >
> >
> > TERASOLUNAを利用しているわけではないのですが、
> >
> > Apache Struts 1 の Validatorに存在する脆弱性とのことですので、
> >
> > 影響を心配しております。
> >
> >
> >
> > 以上
> >
> >
> >
> > よろしくお願いいたします。
> >
> >
> >
> >
> > _______________________________________________
> > Seasar-user mailing list
> > Seasar-user @ ml.seasar.org
> > https://ml.seasar.org/mailman/listinfo/seasar-user
> >
> _______________________________________________
> Seasar-user mailing list
> Seasar-user @ ml.seasar.org
> https://ml.seasar.org/mailman/listinfo/seasar-user
--
Toshihiro Nakamura <nakamura.toshihiro @ isid.co.jp>
Seasar-user メーリングリストの案内