皆さんの関心があまりにも高そうなことが分かったので、
社会的責任を感じ、とりあえず中間報告。
まず、ここにそのことが書かれている
更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)
https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
もともとは、2.0の脆弱性なのだが、
このサイトに書かれていることによると(以下太字は上記サイトより引用)
セキュリティベンダから、Apache Struts 1 系にも類似の脆弱性が存在するという注意喚起あり
ということらしい。
ただそこに
Apache Software Foundation から、Apache Struts の設定による回避策および近日中に対応する旨のアナウンスあり
とあるのだが・・・
Strutsのアナウンスメント
http://struts.apache.org/announce.html
みても(以下斜体は上記サイトより引用)
24 April 2014 - Struts up to 2.3.16.1: Zero-Day Exploit Mitigation
Struts2系の話しか出てないけど?
つまり、そこに書かれているのはstruts.xmlの問題で、これは、struts2にはあるが、struts1にはない(struts-conf.xmlが似たようなことをする設定ファイル)。で、struts1系に類似といわれても、なにがどう類似で、なにを直すのか・・・よくわからん←いまここ
社会的責任を感じ、とりあえず中間報告。
まず、ここにそのことが書かれている
更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)
https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
もともとは、2.0の脆弱性なのだが、
このサイトに書かれていることによると(以下太字は上記サイトより引用)
セキュリティベンダから、Apache Struts 1 系にも類似の脆弱性が存在するという注意喚起あり
ということらしい。
ただそこに
Apache Software Foundation から、Apache Struts の設定による回避策および近日中に対応する旨のアナウンスあり
とあるのだが・・・
Strutsのアナウンスメント
http://struts.apache.org/announce.html
みても(以下斜体は上記サイトより引用)
24 April 2014 - Struts up to 2.3.16.1: Zero-Day Exploit Mitigation
Struts2系の話しか出てないけど?
つまり、そこに書かれているのはstruts.xmlの問題で、これは、struts2にはあるが、struts1にはない(struts-conf.xmlが似たようなことをする設定ファイル)。で、struts1系に類似といわれても、なにがどう類似で、なにを直すのか・・・よくわからん←いまここ
アクセス
トータル
ランキング
