??????????????????????????????????????????????????????????????????????
???2013???????Apache Strus2????(S2-016)??????????????????????
?????????????HASH??????????????????????????????
???????????????????????????????????????????????
Apache Struts2??????????????S2-016(CVE-2013-2251)
???
Apache Struts2?2.0.0-2.3.15??????????????????????????????S2-016(CVE-2013-2251)???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
?Struts2???OGNL(Object-Graph Navigation Language)???Java?????????????Web?????????????OGNL?Struts2?????????????????OGNL?????????????????????????????????????????????
???????????????????URL?????????????OGNL????????????????????????????????????????????????????????????????????
???????????
?Struts2????????blank???????????3 * 4???????????URL???????
http://example.jp/struts2-blank/example/X.action?action:%25{3*4}?
?3 * 4???????????????????????????????????????????????????????????????
?????????
???????????????????????????????????
- Web?????????
- ?????
- ??????????????????
- ??????????????
????????????
?S2-016??????????????????????????Struts2??????????????????????????????????
|
# find / -name ‘struts2-core*.jar’ /var/lib/tomcat7/webapps/struts2-blank/WEB-INF/lib/struts2-core-2.3.15.jar |
?????????Struts2??????????????????2.3.15??????2.3.15????????????????????2.3.15.1???????????????????
???
Struts2????????????????????????????2.3.15.1???????????????????????????Struts2?????????2.3.16???????????
Struts2????????????jar??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????1?????WAF(Web Application Firewall)?????????S2-016???????????????WAF???????????
?????????? ?????WAF????S2-016????????????????????????????????
?????