あちこちのサイトから数万単位で個人情報が漏洩してる件

Apple からサイトへの不正アクセスに関するメールが来たよ
ニフティでも不正ログイン
LINE株式会社 NDRIVEでデータ消失→サービス終了→情報漏えい

当サイトでも、いくつか情報漏えいをここ最近取り上げたのですが、他にも

OCN IDに再び不正アクセス、情報流出などの被害は調査中 | エンタープライズ | マイナビニュース
成田空港検疫所のメールサーバーに不正アクセス - MSN産経ニュース
【セキュリティ ニュース】写真集作成サービス「Print Generation」に不正アクセス - ウイルス感染のおそれ:Security NEXT
などなど、激増していますね・ω・

どうも、これには、Web Server 向けの Java Framework のセキュリティーホールが 7/16に公開されたのが関係しているそうです
Apache Struts2の脆弱性攻撃の検知が急上昇、ラックが注意喚起 - ITmedia エンタープライズ
Apache Struts2 の脆弱性(S2-016)を悪用した攻撃の急増について | セキュリティ情報 | 株式会社ラック

Version 2.0から 2.3.15が影響を受けるとのこと。
要するに、サポートライフの切れた 1.xx と 最新の 2.3.15.1以外全部ですね

National Vulnerability Database (NVD) National Vulnerability Database (CVE-2013-2248)
National Vulnerability Database (NVD) National Vulnerability Database (CVE-2013-2251)
深刻なのは、 CVE-2013-2251 の方ですね

[#WW-4140] Security Improvement - ASF JIRA

セキュリティホールが出続けてる、OGNLとは
OGNL - ソフトウェア技術ドキュメントを勝手に翻訳

ソニーの個人情報流出事件。 | Karakani
一昨年のソニーの個人情報流出も実はOGNLの脆弱性

Apache Struts2に深刻な脆弱性 - ZDNet Japan
2009年にも

Apache Struts2に深刻な脆弱性:セキュリティ - ZDNet Japan - まっちゃだいふくの日記★とれんどふりーく★
古くは 2007年にも

常に最新版にしてないと怖くて使えませんね、これ・ω・;

MVEL2.0 Final リリースされたから使ってみました - よねのはてな
OGNLよりも軽量/高速で表現方法もシンプル - 式言語実装「MVEL」 | エンタープライズ | マイナビニュース

そういえば、OGNLより高速ってニュースできいた MVEL 最近あまり出てきませんね・ω・
2010年 9月に2.0.18が出たきりです

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です