Java WebアプリケーションフレームワークのApache Strutsに重大な脆弱(ぜいじゃく)性が発見され、Apache Software Foundationが9月5日、更新版となるバージョン2.5.13を公開して対処した。すぐに攻撃が発生する可能性も指摘され、関係者は直ちに更新版を適用するよう呼び掛けている。 今回の脆弱性は、オープンソースプロジェクト向けの無料コード検証サービス「lgtm.com」を提供している米Semmleの研究者が発見した。同社によると、2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、同フレームワークのRESTプラグインを使っている全てのWebアプリが影響を受ける。 脆弱性は、信頼できないデータを非直列化する方法に起因しているといい、悪用された場合、StrutsとRESTを使って開発されたアプリケーションを実行しているサーバ上で、リモ
Apache財団の発表によれば、JavaのMVCウェブフレームワークであるStruts 1が寿命を迎えた。ある意味では、この動きは単純に、Strutsチームがバージョン2の開発に注力しているという既成事実を公式に認めただけだ。Struts 1の最後のリリースは2008年のバージョン1.3.10だ。コードとドキュメントは今後も入手できるが、今後はセキュリティパッチやバグ修正は提供されない。FAQによれば、"...既存のStruts 1にパッチを当てるか、他のウェブフレームワークに移行するかして、対処する必要があります"。別の言い方をすれば、Struts 1で作られたアプリケーションやウェブサイトを新しいフレームワークに移行する差し迫った必要があり、新しいプロジェクトでStruts 1を使うのは推奨されない、ということだ。 Struts 1はCraig McClanahan氏が開発し、2000
連載目次 2014年4月はWindows XPのサポート終了が一番の話題であるはずが、それよりも大きな問題が2つも起こってしまいました。Heartbleedと呼ばれるOpenSSLの脆弱性、そしてApache Strutsの脆弱性です。 OpenSSLの脆弱性もApache Strutsの脆弱性も多数のWebサイトで発生したため、セキュリティクラスターのほとんどの人が何かしらの影響を受けたようでした。Apache Strutsの脆弱性では「修正が不十分である」との発表を行った会社が方々から叩かれるという、これまでにあまりないことが起こりました。 そして大型連休を控えた月末には、Windows XPにも影響がある危険な脆弱性が発見され……最後まで脆弱性に振り回された1カ月でした。
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
もはやWeb利用者の常識、“URL”の意味を理解しよう:Webアプリの常識をJSPとStrutsで身につける(5)(2/3 ページ) ■HTTP WebのプロトコルであるHTTPは、HyperText Transfer Protocolの略で、一般のユーザーにとっても最も身近なプロトコルの1つです。これは、前回の「HTMLやStrutsに必須の“タグ”と“サブミット”の常識」で解説したHTMLで記述された文書ファイルや、画像ファイル、動画ファイルなどを“閲覧”するために利用します。 連載第3回の「Webアプリにおけるサーバとクライアントの常識」でも解説しましたが、Webブラウザからの要求(リクエスト)に対して、サーバが応答(レスポンス)するという形でデータがやりとりされます。やりとりは数回行われることはなく、1回の送受信でコネクションは切断されます。詳細は後述します。 HTTPを通じてWe
概要 Validatorはタグの指定のみでアクション・フォームBeanに入力される値のチェックを行うことができます。入力値ごとにチェックプログラムを記述する必要がなく、簡易な設定で入力値のチェックを行うことができます。 Validatorで確認できるルール
調査を行う過程で、稼働中と思われる探調TOOLを発見した。このURLを見て分かる通り、「.action」という拡張子が用いられている。これは慣習的に「Apache Struts」を用いるアプリケーションで指定される拡張子である。さらに、ソースコードを確認すると「struts」という文字列がパス指定でいくつか記載されていた。 これは断定ではないのだが……。 Apache HTTP Serverは10年ほど外部から改ざんを行えるような脆弱性、および攻撃コードがリリースされていない 原因となった探調ツールでは「.action」拡張子が使用されているページがある そのソースコードにはstrutsの文字列がパス指定で記載されている という理由から、探調TOOLでは脆弱性の影響を受けるバージョンのApache Strutsが利用されており、その脆弱性を突かれて、今回の事件に至ったのではないだろうかと考
やまぬWeb改ざん、Apache Struts2の被害も拡大:セキュリティクラスタ まとめのまとめ 2013年7月版 7月も引き続き、日本のWebサイトでは改ざんや不正ログインが続々と発生。加えてApache Struts2に重大な脆弱性が発見され、さらに多数の攻撃が起こりました。 7月も前月に続き、日本のWebサイトで改ざんや不正ログインが続々と発生しました。加えてApache Struts2に重大かつ悪用の容易な脆弱性が発見され、さらに多数の攻撃がありました。またBINDにも脆弱性が発見され、サーバ管理者はアップデート作業で大変な思いをしていたようです。 一方、国内ではQ&Aサイトの「Yahoo!知恵袋」でゼロデイ脆弱性が見つかって公開されたほか、海外でもアップルの開発者向けサイトのゼロデイ脆弱性を突いた不正アクセスが発生し、侵入者が名乗り出るといった事件が起こりました。これを機に、脆
Apache Archive Distribution Directory The directories and files linked below are a historical archive of software released by Apache Software Foundation projects. THEY MAY BE UNSUPPORTED AND UNSAFE TO USE Current releases can be found on our download server. Name Last modified Size Description Parent Directory - jakarta-struts-1.2.2-src.tar.gz 2004-08-30 18:21 5.6M jakarta-struts-1.2.2-src.tar.gz.
マニュアル > TERASOLUNA Server Framework for Java(Web版)チュートリアル TERASOLUNA Server Framework for Java(Web版) 目次
今まで JSP で struts の bean タグや logic タグで記述していたところを、JSTLを使って書かなくちゃいけなくなった。めんどっちぃ。ということで、対応表。 struts taglibJSTL
Strutsの常識を知り、EclipseとTomcatの環境構築:Webアプリの常識をJSPとStrutsで身につける(2)(1/4 ページ) 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です いまさら聞けないStrutsの常識 今回は、「Strutsの常識」と題し、Webアプリケーションフレームワークの1つであるStrutsについての概要を説明したうえで、JDKやEclipse、TomcatなどのWebアプリケーション作成の環境構築を行い、サンプルプログラムを実際に作成してみましょう。 連載第1回の「いまさら聞けない、Webアプリケーションの常識」で、「本連載ではStrutsを取り上げていきます」
※クリックしてもダウンロードが始まらないときは、右クリックして「対象をファイルに保存」で実行して下さい。 ※ダウンロードがうまくいかない場合、他のブラウザでの操作もお試し下さい。 ※データは圧縮形式になっています。解凍ソフトをご利用下さい。 解凍ソフトダウンロード方法
良い悪いは置いておくとしてRubyOnRailsはStrutsになるのだなと感じています(エンタープライズ開発でデファクト・スタンダードになって一定のポジションを獲得する) 最近、「RailsはStruts化する」という風に思っている人が多そうなので、私の意見を書いておきます。 そんなことはないでしょう。 エンタープライズ開発をおこなっている多くのSIerは、とても保守的(だと思う)です。Strutsの導入だってとても慎重で、他で結構使われてもう大丈夫と思ったところで導入したというケースが多いのではないでしょうか。 理由は簡単で、規模が大きいと失敗の損失が大きいので、できる限りリスクを避けようとするためです。今特に困ってないなら、冒険する必要はないという判断です。 新たなテクノロジーを導入するのは、リスクがなく生産性が向上すると判断したか、今のテクノロジーではコストがかかり過ぎると判断した
いまさら聞けない、Webアプリケーションの常識 Webアプリの常識をJSPとStrutsで身につける(1) JSP/サーブレット+Strutsを通じてJava以外の開発にも通用するWebアプリ全般の広い知識・常識を身に付けましょう
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
