TOP > IT・テクノロジー > Qiita > GMO社が被害を...

GMO社が被害を受けたStruts 2(CVE-2017-5638)問題で我々は何を学ぶべきか? - Qiita

15コメント 登録日時:2017-03-20 17:48 | Qiitaキャッシュ

Struts はこれまで何度もリモートコード実行(RCE)脆弱性が見つかっているが、 GMOPGという、決済代行最大手が被害にあったとして、大々的に報じられる事となりました。 ※GMOPGがSIしたサイトでの被害であり、 GMOPGのメインビジネスの部分が突破されたわけではないようです。 どうすれば、回避または、被害を軽減できたか ①Lacの報告によれば、このゼロデ...

Twitterのコメント(15)

自分の勉強用にクリップ
@Qiita
まだStrutsで消耗してるの?状態だな…。とは言え別のFWとかに作り変えるのが大変なんだろうなぁ(自分は10年以上前から使ってない)>
GMO の人が書いたとしか思えない怪文書
Strutsは避けるべき、というのを学ぶべき気が。 > @Qiita
Struts2がなまじサポート中ってのが、移行稟議が通りづらいんだよな。いっそEOL宣言してくれりゃええのに /
この認識は正しいけど、やばいのは主に Struts2> @Qiita
@Qiita 「つまり、とても商用で使えないフレームワークであるとも言えます。」これが全てだよねぇ
@Qiita

何かあった時、技術屋側は「スパッ」とサービスを停められないのよね。
それを前提に準備することも憚られたり
>とても商用で使えないフレームワークであるとも言えます。
わかる
@Qiita
編集履歴読んだら泣きたくなりそう /
危険だからリプレスしないといけないことがわかってても金にならないので提案は通らない。担当のエンジニアからしたら爆発寸前の時限爆弾を引き継いだ感じかな。 /
別にGMOに限った話ではないし、最後は良い感じですまとめられている。/ @Qiita
「脆弱性が分かっていながらサービスを止められなかった」という可能性があるのでは。その場合「コアであるオペーレション能力が大きく毀損」していることになります。
とはいえStrutsベースのWebアプリなんざ国にも山ほど入ってて、問題があると分かってても今の入札制度じゃ拒否できないんだよね。自分の担当するシステムがこんな目に遭ったらと考えると寒気がする / "GMO社が被害を受けたStr…"
概ね同意だけど、『このゼロデイ攻撃』<S2-045はゼロデイではない(よね) /
以上

記事本文: GMO社が被害を受けたStruts 2(CVE-2017-5638)問題で我々は何を学ぶべきか? - Qiita

関連記事

画像で見る主要ニュース