Struts の脆弱性について記事が出ているのをみたのですが、Group Sessionは対象になるのでしょうか?(「Struts 1にも同様の脆弱性が存在」と記載されていました)Group Sessionのトップページなどを見る限り、警告なり対応策なり記載されていなかったので少々気になった次第です利用しているのは4.2.5です
バージョンアップしてから確認したのですが,Struts 1.3.10のままですが大丈夫なのでしょうか?見えないところでStruts 2.3.16.1になっているのでしょうか?どなたか教えてください。
トップページのお知らせに、その件についての記載が出ていますね。対策版のV4.2.6がリリースされたようです。
あら、うちでも確認したところC:\Program Files (x86)\Apache Software Foundation\Tomcat 7.0\webapps\gsession2\WEB-INF\libの中はstruts-core-1.3.10.jarstruts-taglib-1.3.10.jarでした。http://blog.livedoor.jp/blackwingcat/archives/1856448.htmlを見ていると心配だなぁ。ちょうど今アップデートしたところなので、、、。> バージョンアップしてから確認したのですが,Struts 1.3.10のままですが> 大丈夫なのでしょうか?見えないところでStruts 2.3.16.1になっているのでしょうか?> > どなたか教えてください。
先の投稿、もちろん4.2.6です。今朝ダウンロードしました。> あら、うちでも確認したところ> C:\Program Files (x86)\Apache Software Foundation\Tomcat 7.0\webapps\gsession2\WEB-INF\lib> の中は> struts-core-1.3.10.jar> struts-taglib-1.3.10.jar> でした。> http://blog.livedoor.jp/blackwingcat/archives/1856448.html> を見ていると心配だなぁ。> ちょうど今アップデートしたところなので、、、。> > > バージョンアップしてから確認したのですが,Struts 1.3.10のままですが> > 大丈夫なのでしょうか?見えないところでStruts 2.3.16.1になっているのでしょうか?> > > > どなたか教えてください。
kenさんの書き込みを見落としていました。バージョンアップして確認されたのですね。失礼しました。推測ですが、今回はStrutsは1のまま、以下のサイトの「推奨する対策」を元に、発見された脆弱性の対策をしたのではないでしょうか。http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html後のバージョンアップで、Struts2への切替を行なうのかもしれません。
sanchoさん 解説ありがとうございます。そういうことであってほしいですね。(多分このフォーラム上では説明してくれないでしょうが、できたらしてほしいですね←GS中の人)さて、社員番号のマスク作業に入るとします。無駄足にならないといいのですが。
sanchoさんありがとうございました。対応はできていると思って,利用していきます。IEとGSの対応でバタバタです。はやく更新プログラムを配布してほしいものです。
ソースファイルのdiffをとってみると「Struts1の脆弱性(CVE-2014-0094)(S2-020)」に関する修正として、2ファイルの修正加筆が見つかりましたので、対応済みで問題なさそうですよ。
皆様 情報提供ありがとうございますGSの4.2.6 リリースノートにも対応記載がありましたので、再度入れ直して対応したいと思います
vertical_align_top