Struts2 の脆弱性(S2-016)だと・・・

てことゎ外から見えるやつ全部対策しないといかないのか(´；ω；｀)


参考サイト
http://www.lac.co.jp/security/alert/2013/07/18_alert_01.html


neverまとめも被害受けてるみたいだし:(；ﾞﾟ'ωﾟ'):


明日から地獄じゃねーか(´；ω；｀)


サーバー室1050年行きぢゃね？？？？





んで対象バージョンがApache Struts 2.0.0 ～ 2.3.15







全部じゃね？？？(´；ω；｀)





対応としてゎいくつかあるけどバージョンアップが一番だな(´・ω・｀)






バージョンアップで注意するのは
・正規表現バリデーションチェック
・seaser2 + struts2


を行ってる場合だな。





seaser2 + struts2 の組み合わせで 2.1から2.2以降にバージョンアップすると警告がでるんだよな( ﾟдﾟ )


過去に対策ゎ書いたから探してね（＾ω＾）



問題ゎ正規表現バリデーションチェック(；´∀｀)



旧：
<field-validator type="regex">
    <param name="expression"><![CDATA[([a-zA-Z0-9])]]></param> 
</field-validator>


新：
<field-validator type="regex">
    <param name="regex"><![CDATA[([a-zA-Z0-9])]]></param> 
</field-validator>
で動くようになってた件( ﾟдﾟ )



明日最新版入れ替え作業だから問題でたら追記するゎ^^;

確か2.1系と2.2系だったな(´；ω；｀)


バリデーションめんどくさそう(；´∀｀)