読者です 読者をやめる 読者になる 読者になる

インフラエンジニアは人間じゃない

インフラエンジニアの備忘録

Apache Struts について調べたこと

<対象>

 ・Apache Struts 2系

    (Apache Struts 1系は現在影響不明)

 

脆弱性の詳細>

 ・Jakarta Multi Parser の ファイルアップロード処理に脆弱性あり

    →不正なHTTPリクエストが送信されると、リモートで任意のコードが実行される

 

Jakarta Multi Parser とは ・・・ Apache Struts2系に標準で組み込まれているパーサ

 

 ・パーサ とは ・・・ 構文解析

 

<対策>

Apache Struts2のVerUP

・パーサの変更

サーブレットフィルターの実装

 

 ・サーブレットフィルター とは ・・・ 不正な要求を破棄する

 

<確認方法>

 ・Web-inf/lib ディレクトリ配下のStruts2-core-2.x.x.x

 ・パッケージ製品等の場合、ファイルが見つからない場合があるためベンダーへ問い合わせする

 

 ・Jakarta Multpart Parser とは・・・ multipart/form-data形式のリクエストを処理するパーサ

 

 ・multipart/form-data とは ・・・ クライアントがフォームからファイルをアップロードする時、ファイルの情報(ファイルの種類、ヘッダの情報)をサーバ側に知らせる。サーバはファイルの情報を得ることでファイルを扱える。