エンタープライズギークス (Enterprise Geeks)

企業システムの企画・開発に携わる技術者集団のブログです。開発言語やフレームワークなどアプリケーション開発に関する各種情報を発信しています。ウルシステムズのエンジニア有志が運営しています。

Struts脆弱性

ServletFilterによるStruts1脆弱性対策コード

以前の記事で「ServletFilterではマルチパートリクエストに対応できない」と書いたが、Strutsの内部で処理しているマルチパートリクエストのパース処理を実装すれば、ServletFilterだけでも脆弱性問題への対処が可能である。 この方法は、ServletFilterのコ…

Struts1の脆弱性対策(続き)

Apache Struts1の脆弱性問題(S2-020)の対策として、先日の記事でbeanutilsのPropertyUtilsクラスを修正する方法を紹介した。 RequestProcessorを拡張する方法 その後検討した結果、Struts1が提供するRequestProcessorを拡張する方法でも対応できることがわ…

Struts1.1が使っているcommons-beanutils.jarのソースコードを取得する際に遭遇した混乱

Struts1の脆弱性問題(S2-020)に対処するために、commons-beanutils.jarを修正する方法を我々が採用したことは、先日の記事 で述べた通りだ。 この作業を行う中で、jakarta-struts-1.1が使っているcommons-beanutils.jarのソースコードを取得する際に混乱が…

Struts1の脆弱性問題の対処方法

Apache Struts 1の脆弱性問題の対処方法を紹介する。 この問題は、4月24日に株式会社ラックによって以下のように報告された。 http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html ServletFilterによる対処では、multipart/form-dataに対応できな…