<対象>
<脆弱性の詳細>
・Jakarta Multi Parser の ファイルアップロード処理に脆弱性あり
→不正なHTTPリクエストが送信されると、リモートで任意のコードが実行される
・Jakarta Multi Parser とは ・・・ Apache Struts2系に標準で組み込まれているパーサ
・パーサ とは ・・・ 構文解析機
<対策>
・パーサの変更
・サーブレットフィルターの実装
・サーブレットフィルター とは ・・・ 不正な要求を破棄する
<確認方法>
・Web-inf/lib ディレクトリ配下のStruts2-core-2.x.x.x
・パッケージ製品等の場合、ファイルが見つからない場合があるためベンダーへ問い合わせする
・Jakarta Multpart Parser とは・・・ multipart/form-data形式のリクエストを処理するパーサ
・multipart/form-data とは ・・・ クライアントがフォームからファイルをアップロードする時、ファイルの情報(ファイルの種類、ヘッダの情報)をサーバ側に知らせる。サーバはファイルの情報を得ることでファイルを扱える。
