またOGNL絡みの脆弱性が見つかりました。 アウトラインはid:Kango氏がまとめているこちらが参考になります。 http://d.hatena.ne.jp/Kango/20170307/1488907259 さて、この脆弱性の動作原理を調べてみました。 ファイルアップロード時のヘッダの処理方式に問…

2017-07-13追記 struts-2.5.12で解消された模様です。 対応するJiraのチケット struts-2.5.5がリリースされました。 このリリースはかなり大きなインパクトのある変更がいくつか入っています。 最大のインパクトは、ActionContext#getParameters()の戻り値が…

Struts-2.3.24がリリースされています。リリースノートはこちら。 http://struts.apache.org/docs/version-notes-2324.html 以下、僕のコードベースでは対応が必要だった変更点を書いておきます。 スローされた例外を無視してしまう不具合をFIX http://issue…

先日、Struts-2.3.15.2でエンバグしてしまった件を日記に書きましたが、 そのバグを改修したバージョンであるStruts-2.3.15.3がリリースされました。https://struts.apache.org/release/2.3.x/docs/version-notes-23153.html このバージョンでの修正点は以下…

Struts-2.3.15.2がリリースされています。 しかし残念なことに、深刻なエンバグが入ってしまったようです。https://issues.apache.org/jira/browse/WW-4204 僕もこれにぶち当たりました。 Struts-2.3.15.2でFIXされた内容 Struts2には、特定のパラメータをリ…

はいどうも。毎度のOGNL脆弱性FIXが出てますよ。 今回は2つ。 簡単に言うと、Struts2はパラメータ名に"action:"、"redirect:"、"redirectAction:"が付いたものを特別扱いする仕様なのですが、その扱い方に問題があったということです。 OGNLとして評価されて…

最近、セキュリティFIXのリリースが多いですね。良いことであると捉えるべきか… EOLになったStruts1.xからの乗り換えにより、『目玉の数が増えた』というところでしょうか。 さて、今回のFIX対象も例によってOGNL絡みです。 http://struts.apache.org/releas…

毎度おなじみのOGNL関連の脆弱性です。 つい数日前にリリースされたstruts-2.3.14.1で、デフォルトではOGNLの評価が無効化されました。 しかし今回の脆弱性はそれとは関係なく発生します。 以下のURLにある詳細によると、 http://struts.apache.org/release/…

struts-2.3.14.1がリリースされています。 http://struts.apache.org/development/2.x/docs/version-notes-23141.html バージョンを見れば分かる通り、小さなメンテナンスリリースです(2.3.14→2.3.14.1)。 当然ドロップインリプレース出来るだろ常識的に考え…

2014-04-23追記 昨今の状況を鑑みるに、新規案件でのStruts2の採用は余りお勧めできないと言わざるを得ません。 僕はStruts2およびOGNLのソースコードを実際に読み込んだ上で、自分で危険と判断したところは独自でパッチを当てているため、報告されているよ…

いつの間にsturts-2.3.12がリリースされてました。 いつものようにドロップインリプレースだと決めつけて、何も考えずにアプリを実行したら、エラーで動かない。 何じゃ？ というわけで調べてみると、Struts2のカスタムタグの、基本属性の一つである"require…

2013-01-15追記 struts-2.3.8では解消済みのようです。 https://issues.apache.org/jira/secure/ReleaseNote.jspa?projectId=12311041&version=12323480 最近、Struts-2.3.7がリリースされたわけですが、何故だかアプリの動作がやたら重くなる。 jarを更新し…

昔はStruts2のStrutsPrepareAndExecuteFilterが文字化けするという問題がありましたが、 さっき試してみたら、 POST→化けない GET→化ける のようです。ただしGETについてはFilterDispatcherでも同じなので、 Struts2PrepareAndExecuteFilterのバグというわけ…

OGNL評価中に発生した例外を握りつぶさずに上位へスローするかどうかの制御は、struts.xmlにて <constant name="struts.el.throwExceptionOnFailure" value="true" /> を指定することで行います。 で、当然ながらすべてのOGNL例外を握りつぶさずスローするにようになります。 しかし、とある事情により、いくつかの例外は無視し</constant>…

以前のリリースで、OGNL式の解釈にまつわるセキュリティ問題が解消されましたが、 またOGNL式の解釈で致命的な問題が見つかりました。 というわけでStruts-2.3.1.2がリリースされています。 今回のリリースで解消された問題は次の通り。例によって手抜き翻訳…

生きてます。 最近は、技術的に全く面白みのない仕事をしていたためブログをサボリ気味でしたが、 来月から自社の作業に戻るため、ぼちぼち再開できると思います。たぶん。 さて。 struts.xmlで、以下のように定数を宣言することがあるわけですが、コレを参…

久しぶりにStruts-2.2系がアップデートされていました。 緊急性の高いセキュリティFIXを行ったようです。 何がFIXされた？ POSTした値をアクションフォームにセットするとき、『文字列→値』の変換エラーになる場合は、 入力フォームにエラーの値を再表示して…

これを書いている時点では公式ページの告知は無いが、struts-2.2.3がリリースされている。 Mavenリポジトリには既に最新版が配置済みのようで、Ivyで全ての依存関係を更新したらjarが落ちてきた。 しかしこのstruts-2.2.3、ちょっとクセがあるようで、Webア…

さりげなくstruts-2.2.1がリリースされてます。 とりあえず、struts-2.1.8.1からそのまま置き換えても、ちゃんと動くようです。 もういい加減、StrutsPrepareAndExecuteFilterの文字化け問題は修正されてるだろ流石に。と思ってソースを覗いたらstruts-2.1.8…

(2010-8-29追記) ココに記載しているコードは、最新版の2.2.1では適用できません。ご注意を。 ずいぶん前の日記で、struts-2.1.8にしてからタグの挙動が変わって困っているということを書きました。 ちょうど同じ現象で困っていた方からの質問を受け、 とり…

struts.xmlにおいては、ある程度はBeanの定義やDIを設定できます。 もちろんSpringと比較するとごく簡単な機能しか提供していませんが。 さて、とあるInterceptorを作成してstruts.xmlに登録し、そのInterceptorに対してパラメータを与えてみました。 <interceptor name="xyz" class="aa.bb.cc.XyzInterceptor"> <param name="foo">bar</param> </interceptor> …

こんなエラーが出てました。 org.apache.jasper.JasperException: /WEB-INF/content/mother_auth/login/input.jsp(58,6) s:submit タグはそれがdynamic属性を受け付けると宣言していますが、それに必要なインタフェースを実装していません at org.apache.jas…

私的メモ。 Struts2は、Beanへのプロパティ値セットを、OGNL経由で行っている。 そして、OGNLでBeanのプロパティをセットするとき、変換先の型を決定しているのは com.opensymphony.xwork2.conversion.impl.DefaultObjectTypeDeterminerクラス。 なお、コレ…

struts2-convention-pluginを使っているときに、 特定の例外が発生したらJSPへフォワードしようと思って、 <global-results> <result name="db-error" type="redirect">/errors/db-error.jsp</result> </global-results> <global-exception-mappings> <exception-mapping exception="foo.bar.DatabaseException" result="db-error"/> </exception-mapping></global-exception-mappings>

OGNLにはeval関数がありません。 ですがどうしてもeval関数を使いたいシチュエーションが発生したので、作りました。 作ったとは言ってもeval関数そのものではなくて、代用品です。 暗黙ラムダ関数として定義してもよかったのですが、面倒だったので…(-_-) …

2010-12-17 簡単なバグが含まれていたのでサンプルコードを修正しました。今更気がついたのですが… Struts-2.1.8に更新したら、マルチバイト文字が文字参照になってしまいました。こんな感じ。 Before <input type="submit" id="list" name="action:list" value="確認"/> After <input type="submit" id="list" name="action:list" value="&#25147;&#12427;"/> 大きな実害はないのですが、 HTMLのソースを見…

さりげなくStruts-2.1.8がリリースされていました。 変更点 Backward compatibility issues with prior development release The bean named-variable was renamed to namedVariable ww-3092 If the @Result annotation is marked at the method level, it w…

(2009/08/25修正: Enumだけの問題ではなく普通のBeanでも現象が発生したため、文言を若干修正しました) OGNLのSelecting From Collections式(以下、SFC式)は、コレクションから条件にマッチする要素だけを抽出する式です。 みんな大好き内部イテレータってヤ…

いやー、1時間ほどハマりました。 JSP内で、Actionクラスのgetterでプロパティ値を取得し表示するという単純なコードで、 値がなぜか常にnullになるという現象に悩んでいたのですが。原因は、getter内でRuntimeExceptionが発生していたからでした。 OGNLの罠…

XWorkのActionSupportクラスのJavadocを見ていたら発見してしまったのです。 継続をサポートしているということを。 どのように実装しているか大変興味を持ったので、早速ソースを見てみると、 /** * * Stops the action invocation immediately (by throwi…