Apache Struts2??????????????S2-016(CVE-2013-2251)????

??????????????????????????????????????????????????????????????????????

???2013???????Apache Strus2????(S2-016)??????????????????????

?????????????HASH??????????????????????????????

 

???????????????????????????????????????????????

 

Apache Struts2??????????????S2-016(CVE-2013-2251)

 

???

Apache Struts2?2.0.0-2.3.15??????????????????????????????S2-016(CVE-2013-2251)???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

?Struts2???OGNL(Object-Graph Navigation Language)???Java?????????????Web?????????????OGNL?Struts2?????????????????OGNL?????????????????????????????????????????????

???????????????????URL?????????????OGNL????????????????????????????????????????????????????????????????????

 

???????????

?Struts2????????blank???????????3 * 4???????????URL???????

 

http://example.jp/struts2-blank/example/X.action?action:%25{3*4}?

 

?3 * 4???????????????????????????????????????????????????????????????

 

?????????

???????????????????????????????????

 

  • Web?????????
  • ?????
  • ??????????????????
  • ??????????????

 

????????????

?S2-016??????????????????????????Struts2??????????????????????????????????

# find / -name ‘struts2-core*.jar’

/var/lib/tomcat7/webapps/struts2-blank/WEB-INF/lib/struts2-core-2.3.15.jar

?????????Struts2??????????????????2.3.15??????2.3.15????????????????????2.3.15.1???????????????????

 

???

Struts2????????????????????????????2.3.15.1???????????????????????????Struts2?????????2.3.16???????????

Struts2????????????jar??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????1?????WAF(Web Application Firewall)?????????S2-016???????????????WAF???????????

 

?????????? ?????WAF????S2-016????????????????????????????????

 

?????

Apache Struts ???? (S2-016) ????????(JPCERT/CC)

Leave a Reply