struts2でまた脆弱性が発生したよ(CVE-2014-0094)(CVE-2014-0112)
みんなも知ってると思うが、struts2でまた脆弱性が発見されたよ\(^o^)/
OpenSSLも最近話題になったのに(;´Д`)
すでにIPAでは対策も載っていますね。
https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
struts2側は72時間以内に対応しますと言ってたけどそんなバグも対応できなかったのか、あるいは・・・
んで色々調べていると面白いサイトを見っけた。
Webアプリケーションファイアウォール「Scutum」を開発しているビットフォレストのブログ
http://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html
struts2のセキュリティはダメだ。
同じ間違いを繰り返す。
脆弱性を直すセンス(やる気)がない。
脆弱性に対する認識が甘い。
等の結果を発表したあとまとめに
既存のStrutsを前提としたアプリケーションを他のフレームワークに乗り換えることは事実上無理だと思いますが、新規案件等では他のフレームワークを選ぶことをおすすめします。
なんかスッキリwwww
こんなに否定的できる自信もすごいと思った。
じゃあどのフレームワークに乗り換えればいいんだよって話になると思うんだが色々調べてみた。
2014ブレイクすると言われてる Dropwizard
https://dropwizard.github.io/dropwizard/
Javaの常識を変える?Play framework
http://www.playframework-ja.org/
日本語サイトSAStruts・teeda
http://sastruts.seasar.org/
http://teeda.seasar.org/ja/
※ちなみにSAStrutsは今回の件に関しては影響ないそうです。
http://d.hatena.ne.jp/higayasuo/20140425/1398403491
追記
・Seaserのメーリングで現在調査中
軽量フレームワークApache Wicket
http://wicket.apache.org/
等あげるとキリがないが、じゃあ
いつ乗り換えるか?! 今でしょ!!
って言いたいけど急に乗り換えるなんて難しいし、struts2で積み上げた実績が無駄になるし、リスクが大きいよなぁ(´・ω・`)
struts2のバカーヾ(゚д゚)ノ゛
登録:
コメントの投稿 (Atom)
0 件のコメント:
コメントを投稿