[Seasar-user:22048] Re: Validator に入力値検査回避の脆弱性

[YASUO HIGA]

ひがです。

SAStrutsは、MultiPageValidatorを使っていない(Validatorのpage属性を使っていない)ため、大丈夫です。
MultiPageValidatorを直に使っているプロジェクトがあれば、影響を受けますが、
SAStrutsでそれをするのは、かなり面倒なので、そんなことをしているプロジェクトはほとんどないのではないでしょうか。

pageの値は、リクエストパラメータで簡単に改竄できるのでき、セキュリティー的に問題があることはわかっていたので、
SAStrutsは、その機能を最初から削ってます。

一応、不安な方は、commons-validatorを直に呼び出して、かつmulti page validationを使っているか、
プロジェクトにメンバーに確認してみてください。
一
________________________________________
差出人: seasar-user-bounces ＠ ml.seasar.org [seasar-user-bounces ＠ ml.seasar.org] が yuuki_hasemi ＠ cm.jip.co.jp [yuuki_hasemi ＠ cm.jip.co.jp] の代理で送信しました
送信日時: 2015年3月25日 13:52
宛先: seasar-user ＠ ml.seasar.org
件名: [Seasar-user:22042] Validator に入力値検査回避の脆弱性

こんにちは。

以下の脆弱性に対して、SAStrutsで何か対策する必要はありますでしょうか。

＊Validator に入力値検査回避の脆弱性
http://jvn.jp/jp/JVN86448949/

TERASOLUNAを利用しているわけではないのですが、
Apache Struts 1 の Validatorに存在する脆弱性とのことですので、
影響を心配しております。

以上

よろしくお願いいたします。