(注:このブログはもう更新していません)この日記は私的なものであり所属会社の見解とは無関係です。 GitHub: takahashikzn

[クラウド帳票エンジンDocurain]

struts-2.3.15.1緊急リリース


はいどうも。毎度のOGNL脆弱性FIXが出てますよ。
今回は2つ。


簡単に言うと、Struts2はパラメータ名に"action:"、"redirect:"、"redirectAction:"が付いたものを特別扱いする仕様なのですが、その扱い方に問題があったということです。
OGNLとして評価されてしまうため、任意のリモートコード実行ができてしまいます。


詳しくは以下のURLを参照。


http://struts.apache.org/release/2.3.x/docs/s2-016.html
http://struts.apache.org/release/2.3.x/docs/s2-017.html


ちなみに、報告したのは日本の方のようです。Reporterの欄に

Takeshi Terada of Mitsui Bussan Secure Directions, Inc.

とあります。