【情報】「Struts 2」脆弱性狙うアクセスが継続中 - 当初の暫定対策だけでは危険 警察庁が注意呼びかけ©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
「Struts 2」脆弱性狙うアクセスが継続中 - 当初の暫定対策だけでは危険
Security NEXT:2017/05/31
http://www.security-next.com/082239
3月初旬に「Apache Struts 2」の深刻な脆弱性が判明したが、5月以降も同脆弱性を狙うアクセスが観測されている。
発表から約2週間後に、より広範囲で脆弱性の影響を受けることが判明した経緯もあり、公表当初の暫定的な緩和策では被害を受ける可能性があるとして、警察庁が注意を呼びかけている。
問題の「CVE-2017-5638」は、ウェブアプリケーションのフレームワーク「Apache Struts 2」がデフォルトで利用する「Jakartaマルチパートパーサー」において、リモートよりコードの実行が可能となる脆弱性。
3月6日に公表された際は、HTMLヘッダにおける「Content-Type」の処理から脆弱性を突くことが可能であるとされたが、同月20日には、「Content-Disposition」「Content-Length」などのHTMLヘッダを利用し、同脆弱性を悪用できることが判明している。
警察庁によると、同庁の観測システムでは、当初明らかとなった「Content-Type」の処理を狙った攻撃活動と見られるアクセスを3月9日に観測。
3月後半にピークを迎え、以降は減少しているが、4月以降も継続してアクセスを観測しているという。
http://www.security-next.com/images/1705/20170531_np_001.jpg
「Content-Type」ヘッダより「CVE-2017-5638」を悪用する攻撃活動と見られるアクセスの観測状況(グラフ:警察庁) Content-Type: multipart/form-dataをsendすると、任意のコード実行できるらしい 何かと思って調べちゃったじゃん
jabaを利用してwebを作る開発環境のことだった
つまり専門的すぎてニュース速報+に必要なスレではない 技術として専門的だろうが関係ない話じゃない、使っているサイトは一般人も利用するんだから被害は受けるぞ 読んだ、防げる方法が判らない
気を付けてって
…どう気をつければorz 10年前は必須の知識だったけど
今となってはゴミ以下だな
ストラッツ サーバーレス実装とブロックチェーンの時代にあんだって? >>6
待ちガイルが迎撃されまくってるってニュースだよこれ またMSとCIAがWindowsにバックドアを仕掛けたって話 厄介なのはストラトスで作られたアプリも、
この脆弱性の対象というところなんよな
うちのシステムも、制作に使ってないかどうかのチェックが入った
正直、追いきれねーよと思う 昔struts2の本書いた
今は反省しているなら
なんでもできて便利=素人が作ったなんでもできるはザル
に気が付かなかった ストラッツなんて今時開発案件無いだろうな
まだ使ってるシステムあったらこの機会に作り直してみては 脆弱性指摘されて2年くらい経つっけ? 元々廃れ気味だったし、役所や金融、
民間大手のサーバ屋に委託してるとこはそろそろ改修完了しとると思うけど
中小や個人経営のシステムはまだ穴残っててもおかしくはないね
関係ないけどローカルだと銀行とかでもsha1のサイトとか結構残っとるみたい struts2使ったことあるかどうかで派遣のランクが違ったよね ふっ、struts1.3だから関係ないね。(むっちゃ投げやり) >>20
ちょっと前、bashの環境変数の設定のゼロデイ・セキュリティーホールが悪用されて、任意のコマンドを実行される被害が有ったけどな。
HTTPサーバーのUSER-AGENTに、不正な文字列を設定し、その続きにコマンドを書いておくと、そのコマンドが実行され、
実際の攻撃例では、curlやwgetで、他のサイトから不正なプログラムをダウンロードして実行しようとする。
bashを使ってた奴は御愁傷様だったな。 ♪♪♪♪♪♪♪♪♪♪♪♪♪
☆ 日本人の婚姻数と出生数を増やしましょう。そのためには、年金制度と生活保護を
段階的に廃止して、満18歳以上の日本人に、ベーシックインカム(BI)の導入は必須です。
月額約60000円位ならば、廃止すれば財源的には可能です。お願い致します。☆ ■ このスレッドは過去ログ倉庫に格納されています