セキュリティ日進月歩

情報セキュリティについてもうちょっと詳しくなるために。あとdocker

Apache Struts2の脆弱性について(S2-045)

最近なにかとstruts2脆弱性が話題である。ストラッツ2

ここ数年で言えば、heartbreedやshellshock並みのビッグイベントのようで、セキュリティベンダー各社それぞれ、各々の見解を述べているように思います。

 

まとめ系もいろいろありますが、ここがわかりやすいと思っています。

 

Struts2の脆弱性 CVE-2017-5638 (S2-045/S2-046)についてまとめてみた

http://d.hatena.ne.jp/Kango/20170307/1488907259

 

pocコードを見てみると、Content-Typeヘッダにある攻撃コードを埋め込むと、それだけで攻撃が成立するかのように見えます。どういう仕組みなのかはまだよくわかっていませんが、他にもいくつか見てみたところ、strutsの中で用いられているOGNLというフレームワークの部分を活用(?)する脆弱性のようです。

 

まとめはプロの方に任せるとして、こういう脆弱性が出たとき、ベンダーの動き方などを見ていると、勉強になると思うのでした。