- -pv
スレッドの閲覧状況:
現在、- がスレを見ています。
これまでに合計 - 表示されました。
※PC・スマホの表示回数をカウントしてます。
※24時間表示がないスレのPVはリセットされます。

【IT/セキュリティ】Apache Struts2の脆弱性、「Jakarta Stream Multi Part Request」でも回避できず[17/03/17]

1こたつねこ◆AtPO2jsfUI:2017/03/20(月)22:42:12 ID:pgN()
Apache Struts2の脆弱性、「Jakarta Stream Multi Part Request」でも影響

Apache Struts2における任意のコードが実行可能な脆弱性(CVE-2017-5638/S2-045)に関して、
パーサーを「Jakarta Stream Multi Part Request」に変更する方法では脆弱性を回避できない
ことが確認された。一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が17日、
注意喚起情報を更新して明らかにした。JPCERT/CCでは、脆弱性を修正したApache Struts2の
バージョン「2.3.32」「2.5.10.1」にすることを強く推奨している。

(中略)

JPCERT/CCが9日時点で出した注意喚起情報でも、使用するパーサーをJakarta Stream Multi Part
Requestに変更した場合は任意のコードが実行されないことを確認したと報告していた。しかし、
同パーサーでも攻撃が実行可能な場合があるとの情報を受け取ったという。そこで検証を行った結果、
脆弱性の影響を受けるApache Struts2のバージョンを使用している場合、パーサーをJakarta Stream
Multi Part Requestに変更しても攻撃が可能なことを確認したとしている。

↓全文を読む場合は以下をクリック↓
http://internet.watch.impress.co.jp/docs/news/1050219.html

INTERNET Watch 永沢 茂 2017年3月17日 18:42
2埼玉のサラリーマン◆sfVujU9KsLCf :2017/03/21(火)00:46:21 ID:GQY
ありゃま。
週明けに調査依頼が来そうだなこれ。
3名無しさん@おーぷん :2017/03/21(火)01:07:41 ID:4N7
これは酷いな
安心させといて全然安全じゃなかったとか

新着レスの表示 | ここまで読んだ

名前: mail:





【IT/セキュリティ】Apache Struts2の脆弱性、「Jakarta Stream Multi Part Request」でも回避できず[17/03/17]