TOP > IT・テクノロジー > Qiita > GMO社が被害を...
15コメント

Struts はこれまで何度もリモートコード実行(RCE)脆弱性が見つかっているが、 GMOPGという、決済代行最大手が被害にあったとして、大々的に報じられる事となりました。 ※GMOPGがSIしたサイトでの被害であり、 GMOPGのメインビジネスの部分が突破されたわけではないようです。 どうすれば、回避または、被害を軽減できたか ①Lacの報告によれば、このゼロデ...


Twitterのコメント(15)

自分の勉強用にクリップ
@Qiita
まだStrutsで消耗してるの?状態だな…。とは言え別のFWとかに作り変えるのが大変なんだろうなぁ(自分は10年以上前から使ってない)>
GMO の人が書いたとしか思えない怪文書
Strutsは避けるべき、というのを学ぶべき気が。 > @Qiita
Struts2がなまじサポート中ってのが、移行稟議が通りづらいんだよな。いっそEOL宣言してくれりゃええのに /
この認識は正しいけど、やばいのは主に Struts2> @Qiita
@Qiita 「つまり、とても商用で使えないフレームワークであるとも言えます。」これが全てだよねぇ
@Qiita

何かあった時、技術屋側は「スパッ」とサービスを停められないのよね。
それを前提に準備することも憚られたり
>とても商用で使えないフレームワークであるとも言えます。
わかる
@Qiita
編集履歴読んだら泣きたくなりそう /
危険だからリプレスしないといけないことがわかってても金にならないので提案は通らない。担当のエンジニアからしたら爆発寸前の時限爆弾を引き継いだ感じかな。 /
別にGMOに限った話ではないし、最後は良い感じですまとめられている。/ @Qiita
「脆弱性が分かっていながらサービスを止められなかった」という可能性があるのでは。その場合「コアであるオペーレション能力が大きく毀損」していることになります。
とはいえStrutsベースのWebアプリなんざ国にも山ほど入ってて、問題があると分かってても今の入札制度じゃ拒否できないんだよね。自分の担当するシステムがこんな目に遭ったらと考えると寒気がする / "GMO社が被害を受けたStr…"
概ね同意だけど、『このゼロデイ攻撃』<S2-045はゼロデイではない(よね) /
以上
掲載元: GMO社が被害を受けたStruts 2(CVE-2017-5638)問題で我々は何を学ぶべきか? - Qiita


他のコメントを探す:Twitter検索 はてブ

関連記事

93コメント 2013-03-20 03:43 - markethack.net

Too much of a good thing(良いことも、度が過ぎると……) これは英語圏で良く使われる格言です。シェークスピアの『お気に召すまま』で使われたことが、この表現が流行った原因だと思います。 Rosalind: Why then, can one desire too much of a good thing?  Come, sister, you shall be the pr...[続きを読む

画像で見る主要ニュース