Struts!!!!!コミュのStrutsの脆弱性がでました。

「Apache Struts」1.2.8 以前のバージョンの Validator には、細工されたリクエストにより、入力値検査を回避されてしまう問題があります。このため、 Validator を実装しているウェブアプリケーションが、想定外の入力値を受け取ってしまう可能性があります。
マイナスの金額とか、処理してしまう恐れがあるんです。
非常に危険な気がします。VerUpだけでは、回避できない場合があります。

http://www.ipa.go.jp/security/vuln/documents/2006/JVN_72225922_struts.html

コメント(5)

最初
全て
最新の40件

[1] mixiユーザー 04月27日 21:04

>VerUpだけでは、回避できない

1.2.9で解決されているということではないので？

[2] mixiユーザー 04月27日 21:59

>VerUpだけでは、回避できない

修正しようとしたらできなくなってしまったもので、不適切な記述ですみません。海外では、以前からでていたようですが、英語が苦手なので、どのような対策が施されたのかよくまだ調べきれていません。アプリによっては、動きが変わる恐れがあるような気がします。
知っている人がいましたら、お願いいたします。
Ver1.1へのパッチについても同じです。

[3] mixiユーザー 04月27日 23:10

ここに書いてある"承諾式キャンセル処理"の解説に内容が似ている気がします。

http://itpro.nikkeibp.co.jp/article/COLUMN/20060408/234852/?ST=lin-server&P=3

[4] mixiユーザー 04月28日 00:46

SUGIMOTOさま
ありがとうございます。助かりました。
なんとか、英語記事も読みました。
http://issues.apache.org/bugzilla/show_bug.cgi?id=38374

Ver1.3の「承諾式キャンセル処理」とVer1.2.9のパッチの内容は同じだと思います。
したがって、VerUp加え、アクションマッピングを修正する必要があるということです。（修正例はSUGIMOTOさんが書いたITProの記事を参照）キャンセルボタンのある画面をすべて洗い出す作業が発生します。また、InvalidCancelExceptionがThrowされるようになっているので、これも<exception>ブロックに書いたほうがいいようです。
以前のVer1.1.Xへ適用する場合は、上記の英語サイトを参考にソースを修正すればよく、そんなに難しくないと思います。
以上です。

[5] mixiユーザー 04月28日 08:24

うちはisCancelledではなくてLookupDispatchActionで全部まかなっているので、verupだけでなんとかなりそうなんですが、GW前のこの時期に修正するかどうか・・・。

ログインすると、みんなのコメントがもっと見れるよ