X
【情報】「Struts 2」脆弱性狙うアクセスが継続中 - 当初の暫定対策だけでは危険 警察庁が注意呼びかけ©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
0001紅あずま ★ 転載ダメ©2ch.net
垢版 |
2017/05/31(水) 15:48:16.74ID:CAP_USER9
「Struts 2」脆弱性狙うアクセスが継続中 - 当初の暫定対策だけでは危険
Security NEXT:2017/05/31
http://www.security-next.com/082239

3月初旬に「Apache Struts 2」の深刻な脆弱性が判明したが、5月以降も同脆弱性を狙うアクセスが観測されている。
発表から約2週間後に、より広範囲で脆弱性の影響を受けることが判明した経緯もあり、公表当初の暫定的な緩和策では被害を受ける可能性があるとして、警察庁が注意を呼びかけている。

問題の「CVE-2017-5638」は、ウェブアプリケーションのフレームワーク「Apache Struts 2」がデフォルトで利用する「Jakartaマルチパートパーサー」において、リモートよりコードの実行が可能となる脆弱性。

3月6日に公表された際は、HTMLヘッダにおける「Content-Type」の処理から脆弱性を突くことが可能であるとされたが、同月20日には、「Content-Disposition」「Content-Length」などのHTMLヘッダを利用し、同脆弱性を悪用できることが判明している。

警察庁によると、同庁の観測システムでは、当初明らかとなった「Content-Type」の処理を狙った攻撃活動と見られるアクセスを3月9日に観測。
3月後半にピークを迎え、以降は減少しているが、4月以降も継続してアクセスを観測しているという。

http://www.security-next.com/images/1705/20170531_np_001.jpg
「Content-Type」ヘッダより「CVE-2017-5638」を悪用する攻撃活動と見られるアクセスの観測状況(グラフ:警察庁)
0002名無しさん@1周年
垢版 |
2017/05/31(水) 15:53:37.88ID:h7fKVEet0
わかるように説明!
0005名無しさん@1周年
垢版 |
2017/05/31(水) 16:01:30.93ID:N/bHuFEG0
Content-Type: multipart/form-dataをsendすると、任意のコード実行できるらしい
0009名無しさん@1周年
垢版 |
2017/05/31(水) 16:04:46.71ID:XIQbgQpz0
何かと思って調べちゃったじゃん
jabaを利用してwebを作る開発環境のことだった

つまり専門的すぎてニュース速報+に必要なスレではない
0010名無しさん@1周年
垢版 |
2017/05/31(水) 16:06:12.45ID:nzyy8O1z0
技術として専門的だろうが関係ない話じゃない、使っているサイトは一般人も利用するんだから被害は受けるぞ
0012名無しさん@1周年
垢版 |
2017/05/31(水) 16:21:14.23ID:HLFUagXw0
何いってるかサッパリわからん
0013名無しさん@1周年
垢版 |
2017/05/31(水) 16:28:53.10ID:bngexN6/0
読んだ、防げる方法が判らない
気を付けてって
…どう気をつければorz
0014名無しさん@1周年
垢版 |
2017/05/31(水) 16:46:41.96ID:aN+s1asV0
10年前は必須の知識だったけど
今となってはゴミ以下だな
ストラッツ
0015名無しさん@1周年
垢版 |
2017/05/31(水) 17:05:23.80ID:VowG+G9i0
俺だけのランチャーストラトス
0016名無しさん@1周年
垢版 |
2017/05/31(水) 17:23:14.97ID:5IqIfvI/0
サーバーレス実装とブロックチェーンの時代にあんだって?
0017名無しさん@1周年
垢版 |
2017/05/31(水) 17:37:42.40ID:Kb+uQZ220
スプリングブートやしストラクスはもうオワコン
0019名無しさん@1周年
垢版 |
2017/05/31(水) 18:05:09.99ID:HMsrjWnl0
またMSとCIAがWindowsにバックドアを仕掛けたって話
0023名無しさん@1周年
垢版 |
2017/05/31(水) 19:33:46.27ID:kqY2Slju0
厄介なのはストラトスで作られたアプリも、
この脆弱性の対象というところなんよな
うちのシステムも、制作に使ってないかどうかのチェックが入った
正直、追いきれねーよと思う
0024名無しさん@1周年
垢版 |
2017/05/31(水) 19:41:12.18ID:tB7r3FGb0
HTMLヘッダっておま…HTTPじゃねーか
0025名無しさん@1周年
垢版 |
2017/05/31(水) 21:47:18.78ID:rSHu5ynq0
昔struts2の本書いた
今は反省しているなら

なんでもできて便利=素人が作ったなんでもできるはザル

に気が付かなかった
0026名無しさん@1周年
垢版 |
2017/05/31(水) 21:54:14.28ID:Rkm8WrfS0
ストラッツなんて今時開発案件無いだろうな
まだ使ってるシステムあったらこの機会に作り直してみては
0027名無しさん@1周年
垢版 |
2017/05/31(水) 22:23:21.58ID:xwqmyb0G0
脆弱性指摘されて2年くらい経つっけ? 元々廃れ気味だったし、役所や金融、
民間大手のサーバ屋に委託してるとこはそろそろ改修完了しとると思うけど
中小や個人経営のシステムはまだ穴残っててもおかしくはないね
関係ないけどローカルだと銀行とかでもsha1のサイトとか結構残っとるみたい
0028名無しさん@1周年
垢版 |
2017/05/31(水) 23:46:56.44ID:hQ0PRQTo0
struts2使ったことあるかどうかで派遣のランクが違ったよね
0029名無しさん@1周年
垢版 |
2017/06/01(木) 19:04:11.12ID:/gJeegcK0
ふっ、struts1.3だから関係ないね。(むっちゃ投げやり)
0032名無しさん@1周年
垢版 |
2017/06/02(金) 16:55:58.21ID:pn8HTM0O0
>>20
ちょっと前、bashの環境変数の設定のゼロデイ・セキュリティーホールが悪用されて、任意のコマンドを実行される被害が有ったけどな。
HTTPサーバーのUSER-AGENTに、不正な文字列を設定し、その続きにコマンドを書いておくと、そのコマンドが実行され、
実際の攻撃例では、curlやwgetで、他のサイトから不正なプログラムをダウンロードして実行しようとする。
bashを使ってた奴は御愁傷様だったな。
0035名無しさん@1周年
垢版 |
2017/06/04(日) 23:01:33.89ID:AzMhjM/F0
♪♪♪♪♪♪♪♪♪♪♪♪♪
☆ 日本人の婚姻数と出生数を増やしましょう。そのためには、年金制度と生活保護を
段階的に廃止して、満18歳以上の日本人に、ベーシックインカム(BI)の導入は必須です。
月額約60000円位ならば、廃止すれば財源的には可能です。お願い致します。☆
0036名無しさん@1周年
垢版 |
2017/06/05(月) 12:09:31.97ID:tOo1Hjnn0
>>33
IT土方案件なら楽勝で現役
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況