RSSフィードについて

RSSリーダーで、フォーラムの新着投稿情報がチェックできます。
詳しくは下記ページを参照して下さい。

RSSフィード  RSSフィードについて

ご自由に情報交換の場として御利用ください。
また質問の前には「回答を得るには?」を参照してください。


GroupSessionへの要望があれば参考にさせていただきます。
要望リストも参考にしてください。


 
フォーラム  フォーラム
00_インストール・設定
スレッド  タイトル

Struts の脆弱性


[ 5823 ] Struts の脆弱性
投稿者: しろうとX
投稿日時:  2014/04/25 12:00:37
Struts の脆弱性について記事が出ているのをみたのですが、
Group Sessionは対象になるのでしょうか?
(「Struts 1にも同様の脆弱性が存在」と記載されていました)
Group Sessionのトップページなどを見る限り、
警告なり対応策なり記載されていなかったので少々気になった次第です
利用しているのは4.2.5です
  引用返信
[ 5826 ] Re: Struts の脆弱性
投稿者: ken
投稿日時:  2014/04/30 16:43:21
バージョンアップしてから確認したのですが,Struts 1.3.10のままですが
大丈夫なのでしょうか?見えないところでStruts 2.3.16.1になっているのでしょうか?

どなたか教えてください。
  引用返信
[ 5827 ] Re: Struts の脆弱性
投稿者: sancho
投稿日時:  2014/04/30 18:00:59
トップページのお知らせに、その件についての記載が出ていますね。
対策版のV4.2.6がリリースされたようです。

  引用返信
[ 5828 ] Re: Re: Struts の脆弱性
投稿者: みしっと
投稿日時:  2014/04/30 18:07:00
あら、うちでも確認したところ
C:\Program Files (x86)\Apache Software Foundation\Tomcat 7.0\webapps\gsession2\WEB-INF\lib
の中は
struts-core-1.3.10.jar
struts-taglib-1.3.10.jar
でした。
http://blog.livedoor.jp/blackwingcat/archives/1856448.html
を見ていると心配だなぁ。
ちょうど今アップデートしたところなので、、、。

> バージョンアップしてから確認したのですが,Struts 1.3.10のままですが
> 大丈夫なのでしょうか?見えないところでStruts 2.3.16.1になっているのでしょうか?
>
> どなたか教えてください。
  引用返信
[ 5829 ] Re: Re: Re: Struts の脆弱性
投稿者: みしっと
投稿日時:  2014/04/30 18:08:30
先の投稿、もちろん4.2.6です。今朝ダウンロードしました。

> あら、うちでも確認したところ
> C:\Program Files (x86)\Apache Software Foundation\Tomcat 7.0\webapps\gsession2\WEB-INF\lib
> の中は
> struts-core-1.3.10.jar
> struts-taglib-1.3.10.jar
> でした。
> http://blog.livedoor.jp/blackwingcat/archives/1856448.html
> を見ていると心配だなぁ。
> ちょうど今アップデートしたところなので、、、。
>
> > バージョンアップしてから確認したのですが,Struts 1.3.10のままですが
> > 大丈夫なのでしょうか?見えないところでStruts 2.3.16.1になっているのでしょうか?
> >
> > どなたか教えてください。
  引用返信
[ 5830 ] Re: Struts の脆弱性
投稿者: sancho
投稿日時:  2014/04/30 18:13:40
kenさんの書き込みを見落としていました。
バージョンアップして確認されたのですね。失礼しました。

推測ですが、今回はStrutsは1のまま、以下のサイトの「推奨する対策」を元に、
発見された脆弱性の対策をしたのではないでしょうか。
http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html

後のバージョンアップで、Struts2への切替を行なうのかもしれません。
  引用返信
[ 5831 ] Re: Struts の脆弱性
投稿者: みしっと
投稿日時:  2014/04/30 18:18:07
sanchoさん

 解説ありがとうございます。
そういうことであってほしいですね。
(多分このフォーラム上では説明してくれないでしょうが、できたらしてほしいですね←GS中の人)

さて、社員番号のマスク作業に入るとします。
無駄足にならないといいのですが。
  引用返信
[ 5833 ] Re: Struts の脆弱性
投稿者: ken
投稿日時:  2014/04/30 18:50:39
sanchoさん

ありがとうございました。
対応はできていると思って,利用していきます。

IEとGSの対応でバタバタです。
はやく更新プログラムを配布してほしいものです。
  引用返信
[ 5834 ] Re: Struts の脆弱性
投稿者: GS導入準備中の人
投稿日時:  2014/05/01 09:25:50
ソースファイルのdiffをとってみると「Struts1の脆弱性(CVE-2014-0094)
(S2-020)」に関する修正として、2ファイルの修正加筆が見つかりましたので、
対応済みで問題なさそうですよ。
  引用返信
[ 5842 ] Re: Struts の脆弱性
投稿者: しろうとX
投稿日時:  2014/05/08 10:00:47
皆様 情報提供ありがとうございます
GSの4.2.6 リリースノートにも
対応記載がありましたので、
再度入れ直して対応したいと思います

  引用返信
 
スレッドURL:
 

クラウド版グループウェアbycloud

Twitter
開発スタッフのつぶやき http://twitter.com/gsession_jts
Facebook
メールマガジン
GroupSessionのセキュリティ情報、アップデート情報をお伝えするメールマガジンです。(無料)
メルマガ『速報!GroupSession』
ブログ
スタッフによる開発日誌を公開しています。
「Public JTS スタッフブログ」


Copyright 日本トータルシステム株式会社