うちの会社も攻撃されましたが大丈夫でした(S2-032/CVE-2016-3081)

struts2 の将来が心配です(´；ω；｀)ｗ
Dynamic Method Invocation (DMI)が有効だと起こる脆弱性だそうです(・_・;)

Dynamic Method Invocation (DMI) は現場の人しかわからないと思いますが
struts.xmlまたはpropertiesでJSPからメソッド呼び出しが可能になる設定があります。

struts.enable.DynamicMethodInvocation
がtrueになっていませんか？

デフォルトはfalseだが、どっかのバージョンではtrueになっているのかな？
こっちはfalseにしてたので影響はありませんでしたが、中国から攻撃されました(´；ω；｀)

まぁーどっちにしろバージョンアップを行ったほうがいいんだけどね(´・ω・｀)
脆弱性データベースを見たらIPAが通知した情報以外の脆弱性がワンサカｗｗｗ
http://jvndb.jvn.jp/search/index.php?mode=_vulnerability_search_IA_VulnSearch&lang=ja&useSynonym=1&keyword=struts2


対策はjarのバージョンアップぐらいかな(´・ω・｀)

攻撃方法はhttp://localhost:8080/struts/test.action?cmd=コマンド&method:コマンドを動かす不正な値(処理)

URLパラメーターに method: があれば攻撃された証拠です( ･`ω･´)


それでは良いGWを
DMM mobileデビュー！今だけお得なキャンペーン実施中！