官公庁などが多数サイトに去年サポートが切れたStruts 1を使ってることが判明
国内セキュリティ企業が相次いで注意喚起:Struts 2の脆弱性は最新版でも未修正、Struts 1にも同様の脆弱性が存在 - @IT
サイト構築ソフトに欠陥 官公庁などサイバー攻撃の恐れ :日本経済新聞
開発元である米非営利団体アパッチ・ソフトウエア財団は08年に最終版を出荷、13年4月にサポートを終了してパッチの提供を停止した。欠陥が見つかったのは08年以降で初めて。情報セキュリティー大手のラックが発見、24日に公表した。 |
CVE-2008-2025 : Cross-site scripting (XSS) vulnerability in Apache Struts before 1.2.9-162.31.1 on SUSE Linux Enterprise (SLE) 11, befor
最後の脆弱性ってこれかな? 1.1では修正されてないですが 1.2.9の特定ビルド以前のバージョンが影響を受ける脆弱性
いや、初めてじゃないよね?
JVNDB-2012-001329 - JVN iPedia - 脆弱性対策情報データベース
CVE-2012-1007 : Multiple cross-site scripting (XSS) vulnerabilities in Apache Struts 1.3.10 allow remote attackers to inject arbitrary w
こちら、 2012年に 1.3.10で見つかったクロスサイトスプリクティングの脆弱性
で、なんで2008年から修正されていないかというと
Re: Is Struts v1.3.10 Actively Assessed for Security Vulnerabilities?
問題はStruts 1のサンプルコードにあるからとの事
SC-L-403 - SourceClear - SourceClear
でも、攻撃用の実証コードがアップされているという・ω・
Struts はJavaのフレームワークなのでバグ多いし、捨てちゃっていい気がするんだけどな・・・
最近起こってる 情報漏えいって、Struts 2 がらみが多いですし
官公庁などにストラッツ1を使ったシステムを多く納入するNTTデータがパッチを作る方針を打ち出している。だが、現状では「作成完了日は未定」 |
とか思ってたら、パッチ作るらしいよ・ω・
個人的には XPより Struts と IEを何とかすべきだと思ってるのだけど、なんだかなぁ・・・
ネット上では通信を暗号化するソフト「オープンSSL」の欠陥が引き金になって三菱UFJニコスが約900人の個人情報を盗み見られるなどの被害が世界的に発生したばかり |
っていうか、いい加減「オープンSSL」って書くのやめようよ>ω<
Comments