[Java]個人情報漏洩の序曲 旧版Apache Strutsに複数の脆弱性

「Apache Struts」の更新版リリース、複数の脆弱性に対処 - ITmedia エンタープライズ

オープンソースのWebアプリケーション構築フレームワークApache Strutsの更新版となる「Apache Struts 2.3.15.2」が9月20日付でリリースされた。複数の脆弱性が修正されており、直ちにアップデートするよう強く促している

個人情報漏洩の温床になってる、Apache Struts の脆弱性ですが、2ヶ月経たずに次の更新プログラムがきました ・ω・

使ってるところははやめにアップデートしてほしいところですね

関連記事:
あちこちのサイトから数万単位で個人情報が漏洩してる件

そして、Java 7 Update 40について・・・。

Java 7 update 40 released with no announcement | boot13
Reminder: latest Java still vulnerable | boot13

2013/9/11更新: Javaの7アップデート40が昨日発表されましたが、これにはセキュリティ上の脆弱性の修正があったとは表示されません。
いくつかのセキュリティに関連した変更ガ7u40で行われたので、Gowdiak 氏によって報告された脆弱性を軽減する可能性もありますが、我々は確認のために氏からのアップデートを待ってます。

Oracle adds long-awaited whitelisting capabilities to Java - online safety, security, Security Explorations, Desktop security, Exploits / vulnerabilities, qualys, Oracle - Good Gear Guide by PC World Australia

Java 7アップデート40は、システム管理者が特定のJavaアプレットが信頼され、実行されるべきかを定義することができます

It's about time: Java update includes tool for blocking drive-by exploits • The Register

Java 6アップデート10以降がマルチプラットフォームとしてインストールされた環境では、この新しい機能の恩恵を受けることができます

なんか、ホワイトリスト機能作ったんで、とりあえず、それを使ってまだ直してない脆弱性は防御してくださいってことだね。

つまり、Java 7 Update 25 / 40 には例の Issue 69 の脆弱性が残ったままであり、 Java 6 Update 51 / 60が 最もセキュアな Java Runtime バージョンということか・・・ |;・ω・) なんだかなぁ

関連記事:
Java7の脆弱性9月まで放置な件とVersion規則変更のお知らせ
Java SE 7u25 と Java SE 6u51 リリース…しかし

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です