TOP > IT・テクノロジー > Qiita > GMO社が被害を...

GMO社が被害を受けたStruts 2(CVE-2017-5638)問題で我々は何を学ぶべきか? - Qiita

15コメント 登録日時:2017-03-20 17:48 | Qiitaキャッシュ

GMOペイメントゲートウェイ社(以下GMOPG)という、クレジット決済代行を取り扱う、国内最大手の会社がクレジットカード番号を流出させたとして、3/10以降大きく報道されました。この事故から、我々エンジニアが学ぶべき事は何でしょうか?発生した事象についてCVE-2017-5638とはなにかファイルアップロードにおけるマルチーパートヘッダーの解釈部分に脆弱性があり、リ...

Twitterのコメント(15)

自分の勉強用にクリップ
@Qiita
まだStrutsで消耗してるの?状態だな…。とは言え別のFWとかに作り変えるのが大変なんだろうなぁ(自分は10年以上前から使ってない)>
GMO の人が書いたとしか思えない怪文書
Strutsは避けるべき、というのを学ぶべき気が。 > @Qiita
Struts2がなまじサポート中ってのが、移行稟議が通りづらいんだよな。いっそEOL宣言してくれりゃええのに /
この認識は正しいけど、やばいのは主に Struts2> @Qiita
@Qiita 「つまり、とても商用で使えないフレームワークであるとも言えます。」これが全てだよねぇ
@Qiita

何かあった時、技術屋側は「スパッ」とサービスを停められないのよね。
それを前提に準備することも憚られたり
>とても商用で使えないフレームワークであるとも言えます。
わかる
@Qiita
編集履歴読んだら泣きたくなりそう /
危険だからリプレスしないといけないことがわかってても金にならないので提案は通らない。担当のエンジニアからしたら爆発寸前の時限爆弾を引き継いだ感じかな。 /
別にGMOに限った話ではないし、最後は良い感じですまとめられている。/ @Qiita
「脆弱性が分かっていながらサービスを止められなかった」という可能性があるのでは。その場合「コアであるオペーレション能力が大きく毀損」していることになります。
とはいえStrutsベースのWebアプリなんざ国にも山ほど入ってて、問題があると分かってても今の入札制度じゃ拒否できないんだよね。自分の担当するシステムがこんな目に遭ったらと考えると寒気がする / "GMO社が被害を受けたStr…"
概ね同意だけど、『このゼロデイ攻撃』<S2-045はゼロデイではない(よね) /
以上

記事本文: GMO社が被害を受けたStruts 2(CVE-2017-5638)問題で我々は何を学ぶべきか? - Qiita

関連記事

画像で見る主要ニュース