うちの会社も攻撃されましたが大丈夫でした(S2-032/CVE-2016-3081)
struts2 の将来が心配です(´;ω;`)w
Dynamic Method Invocation (DMI)が有効だと起こる脆弱性だそうです(・_・;)
Dynamic Method Invocation (DMI) は現場の人しかわからないと思いますが
struts.xmlまたはpropertiesでJSPからメソッド呼び出しが可能になる設定があります。
struts.enable.DynamicMethodInvocation
がtrueになっていませんか?
デフォルトはfalseだが、どっかのバージョンではtrueになっているのかな?
こっちはfalseにしてたので影響はありませんでしたが、中国から攻撃されました(´;ω;`)
まぁーどっちにしろバージョンアップを行ったほうがいいんだけどね(´・ω・`)
脆弱性データベースを見たらIPAが通知した情報以外の脆弱性がワンサカwww
http://jvndb.jvn.jp/search/index.php?mode=_vulnerability_search_IA_VulnSearch&lang=ja&useSynonym=1&keyword=struts2
対策はjarのバージョンアップぐらいかな(´・ω・`)
攻撃方法はhttp://localhost:8080/struts/test.action?cmd=コマンド&method:コマンドを動かす不正な値(処理)
URLパラメーターに method: があれば攻撃された証拠です( ・`ω・´)
それでは良いGWを
DMM mobileデビュー!今だけお得なキャンペーン実施中!
登録:
コメントの投稿 (Atom)
0 件のコメント:
コメントを投稿