【IT】サイト構築ソフト・ストラッツ1(Struts 1)に欠陥 パッチなく官公庁などサイバー攻撃の恐れ [4/24]

このエントリーをはてなブックマークに追加
1かじりむし ★@転載禁止
サイト構築ソフトに欠陥 官公庁などサイバー攻撃の恐れ
http://www.nikkei.com/article/DGXNASDZ240HW_U4A420C1EA2000/
日本経済新聞 2014/4/24 22:41


 ウェブサイトを作成するために官公庁や銀行、企業などが広く利用しているソフ
ト「ストラッツ1」にセキュリティー上の欠陥(脆弱性)があることが24日分かっ
た。個人情報や機密情報を盗まれたりサイトが改ざんされたりするサイバー攻撃の
恐れがある。同ソフトはサポートが終了しており、現在のところ修正プログラム(
パッチ)は無い。すでに攻撃方法がインターネット上で公開されており、早急に対
応が必要だ。

 ストラッツ1はサイト作成や運用に利用するソフトで無償公開されている。2000
年代初頭から企業や団体が採用、独立行政法人「情報処理推進機構」(IPA)に
よると現在も多くの省庁や企業などで使われているという。

 開発元である米非営利団体アパッチ・ソフトウエア財団は08年に最終版を出荷、
13年4月にサポートを終了してパッチの提供を停止した。欠陥が見つかったのは08
年以降で初めて。今後も新たな欠陥が見つかる可能性もある。

 欠陥を突いてサイバー攻撃を受けた場合、サイトを動かすシステムを乗っ取られ
る恐れがある。すべての操作をできるため情報を盗んだり、サイトを改ざん・停止
できたりする。ウイルスを仕掛けることで、訪問者を感染させて次の攻撃につなげ
ることも容易になる。

 官公庁などにストラッツ1を使ったシステムを多く納入するNTTデータがパッ
チを作る方針を打ち出している。だが、現状では「作成完了日は未定」という。

>>2以降に続く)
2かじりむし ★@転載禁止:2014/04/24(木) 22:59:52.56 ID:???0
 企業など利用者の対策の一つは新たなソフトを使ってサイトを作り直すこと。も
う一つは攻撃を一時的にかわす応急措置だ。システムを構築した開発者なら、攻撃
のアクセスを特定できれば対応できる見通し。

 情報セキュリティー大手のトレンドマイクロは攻撃アクセスを防ぐソフトの販売
を始めており、これを使って一時的な対応も可能。シマンテックも同様の製品を出
荷した。

 内閣官房情報セキュリティセンターは24日、各省庁に注意喚起し早期対応を呼び
かけた。総務省は「政治資金関係申請・届出オンラインシステム」でストラッツ1
を使っているとみられ、「運用を委託する富士ソフトを通じて確認中」(政治資金
課)という。

 ネット上の不審な通信を監視している警察庁は、今回明らかになった欠陥を狙っ
たとみられる不審なアクセスは24日夕時点で把握していないとしている。ただ、ト
レンドマイクロによると、すでに攻撃方法がネット上に公開されており、今後、被
害がまん延する可能性もあるという。

 ネット上では通信を暗号化するソフト「オープンSSL」の欠陥が引き金になっ
て三菱UFJニコスが約900人の個人情報を盗み見られるなどの被害が世界的に発
生したばかり。オープンSSLはパッチがあるが、今回は本格的な対策には時間が
かかりそうだ。

(以上)
3名無しさん@13周年@転載禁止:2014/04/24(木) 23:01:15.76 ID:kwS7OSMv0
Javaで開発経験3年以上
ストラッツの経験ある人
4名無しさん@13周年@転載禁止:2014/04/24(木) 23:02:31.70 ID:0mwfkGnT0
大手になればなるほど入れっぱなしが多いなぁ
5名無しさん@13周年@転載禁止:2014/04/24(木) 23:05:52.73 ID:7jkqnDA10
怖ええ
6名無しさん@13周年@転載禁止:2014/04/24(木) 23:05:58.68 ID:hQMVz9LB0
SEにかね払えよ
7名無しさん@13周年@転載禁止:2014/04/24(木) 23:07:13.12 ID:HUKv2OQ60
>>4
やっぱりセキュリティパッチ一つ当てるのにも見積書、テスト仕様書、テスト結果報告書とかの書類の山の稟議がいるの?
8名無しさん@13周年@転載禁止:2014/04/24(木) 23:07:17.27 ID:oG4Pj5xk0
Struts1系なんて、未だにばりばり使う現場あるからな。
レガシーシステムでそのままのところも相当数ある。

こりゃ金になるな!
9名無しさん@13周年@転載禁止:2014/04/24(木) 23:07:27.51 ID:aIq/CuIJ0
だからフレームワークなんて使うなって俺が何度も言ったのに。
プログラム板でそれ言うとなぜか叩かれるんだよね。
プログラマーなんて視野が狭いやつばっか。
10名無しさん@13周年@転載禁止:2014/04/24(木) 23:07:59.25 ID:/w89qzfQ0
よ〜わからんがこの手の攻撃はちょっとした手直しで防げる
誰か対処法を公開してやれ
いや、それとも霞ヶ関が金出して対処法を買え
100万円も出せば誰かがやってくれるさ
11名無しさん@13周年@転載禁止:2014/04/24(木) 23:08:55.10 ID:tksCl8U+0
>>9
そうは言うがな
運用がずさんな所はオレームワークでやっても
結局フレームワーク使ったほうがよかったって話になるんよ
12名無しさん@13周年@転載禁止:2014/04/24(木) 23:10:38.04 ID:oG4Pj5xk0
ルーティングしてる処理内のリフレクションで不正なパラメータによっておかしな挙動をするとかかな。どういう穴なのかすごく興味ある。
13名無しさん@13周年@転載禁止:2014/04/24(木) 23:11:30.71 ID:mjhhds5s0
Struts1.xはJavaの化石フレームワーク

海外では1%程度しか使われてないのに
時代遅れの日本のIT業界ではStrutsがかなり使われている

Struts1.xはとっくにメンテナンスも終了してるし終わったな
「枯れた技術は安全」とか言ってた馬鹿は慌ててるだろうな

Strutsみたいな古い技術で開発してる奴らほんとアホだわ
14名無しさん@13周年@転載禁止:2014/04/24(木) 23:12:59.69 ID:p6hPcqxU0
だれか検証内容をおしえてくれw
正直ようわからんぞ
15名無しさん@13周年@転載禁止:2014/04/24(木) 23:13:43.02 ID:YR0bwL5t0
政府が無料ソフト使うなや
16名無しさん@13周年@転載禁止:2014/04/24(木) 23:14:03.56 ID:bOeNB+cX0
2007年1月の時点で、最初のexcludeParamsが登場しました。

<param name="excludeParams">dojo\..*</param>

2008年6月に、strutsという単語が追加されます。

<param name="excludeParams">dojo\..*,^struts\..*</param>

2012年3月に、一気に複数の単語が追加されます。

<param name="excludeParams">dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,parameters\...*</param>
少なくともこの時点で「何かおかしい」と気付いて方向転換するべきではないかと思います。

2013年10月に、actionとmethodが追加されます。

<param name="excludeParams">^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>

2014年3月になり、S2-020の修正としてclassが追加されます。現時点(2014年4月)で「最もセキュアである」とみなさんが認識されている、最新版(2.3.16.1)の内容がこちらです。

<param name="excludeParams">^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>

http://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html

糞ワロタwwww
17名無しさん@13周年@転載禁止:2014/04/24(木) 23:14:49.46 ID:mjhhds5s0
>>9
フレームワーク使うのは悪くないだろ
使わないと生産性が落ちる

ASP.netみたいにちゃんとベンダーがセキュリティパッチを
長期間にわたって提供しているものもある

問題はメンテナンスが終了したようなものを
「枯れているから安全だ」、という誤った知識で使おうとする日本の体質
18名無しさん@13周年@転載禁止:2014/04/24(木) 23:15:11.78 ID:u+Tcq4lR0
またDATAで腕利きの派遣が格安で駆り出されるんだな
19名無しさん@13周年@転載禁止:2014/04/24(木) 23:15:17.98 ID:hYNVMPhD0
ストラッツって読むのか
カタカナ表記は初めて見たから新鮮
20名無しさん@13周年@転載禁止:2014/04/24(木) 23:17:44.93 ID:G2fxJrfi0
タダより高いモノは無い。

ってね。wwwwww
21名無しさん@13周年@転載禁止:2014/04/24(木) 23:17:59.15 ID:p6hPcqxU0
>>16
Struts2じゃん
Struts1でどうなのか
この情報が出てないんだなぁ
22名無しさん@13周年@転載禁止:2014/04/24(木) 23:19:54.85 ID:wLGdVdBm0
>>10
そんな風だから直せないんだな
23名無しさん@13周年@転載禁止:2014/04/24(木) 23:25:17.78 ID:p6hPcqxU0
これ本当なんかはっきりせんなぁ
Struts1.xとStruts2.xは全然別物のフレームワークなんだけどね。

Struts2は元々WebWorkベースだぜ?
じつは勘違いなんじゃないか説が俺の中である。
24名無しさん@13周年@転載禁止:2014/04/24(木) 23:25:19.68 ID:aIq/CuIJ0
>>11
オレームワークのほうがメンテしやすいでしょ
会社変わっても引き継ぎさえちゃんとらやれば

>>17
そりゃMSみたいなところはマシだと思うけど
それとていつ切られるかわからんよね
25名無しさん@13周年@転載禁止:2014/04/24(木) 23:26:14.22 ID:iaDD/Nbh0
カタカナ表記www
IT音痴が記者やってんだか編集規約決めてんだか…
26名無しさん@13周年@転載禁止:2014/04/24(木) 23:26:32.43 ID:uqdltSa10
コードイグナイターってどうなるをだろう
27名無しさん@13周年@転載禁止:2014/04/24(木) 23:28:21.03 ID:wLGdVdBm0
>>21
1は確か既知のバグ潰し切らないで終わらせたとかで、その時点で騒ぎになってた記憶がある
28名無しさん@13周年@転載禁止:2014/04/24(木) 23:29:35.23 ID:ORUlsUB90
記事通りStruts1でも脆弱性攻撃でセキュリティ・ホール確認
www.lac.co.jp/security/alert/2014/04/24_alert_01.html
29名無しさん@13周年@転載禁止:2014/04/24(木) 23:29:57.94 ID:iaDD/Nbh0
>>13
安定性オタクな。安全性はどーでもいいとwww
30名無しさん@13周年@転載禁止:2014/04/24(木) 23:32:37.52 ID:QXxweTxK0
このGWは「時代に合ったアップデートなどセキュリティー対策してないと危ないよ」のデモンストレーションになるのですね

>>3
> Javaで開発経験3年以上
ノシ

> ストラッツの経験ある人
ナニソレウマイノ? ドンナアジ?
31名無しさん@13周年@転載禁止:2014/04/24(木) 23:33:47.05 ID:p6hPcqxU0
>>28
それ俺も見たけど、画像ぼかしすぎなんだよな

Githubにあげろやって思う
32名無しさん@13周年@転載禁止:2014/04/24(木) 23:36:38.02 ID:iaDD/Nbh0
>>30
香ばしいGW到来
トレンディな某セキュリティソフトの会社がアップデートでテロ仕掛けて大騒ぎになったこともあったなw
33名無しさん@13周年@転載禁止:2014/04/24(木) 23:40:42.21 ID:p6hPcqxU0
ラック、はっきりした証拠をソースであげんかいワレェぇ!って感じ

画像が証拠じゃ話しならん。
STAP細胞じゃねーんだぞw
34名無しさん@13周年@転載禁止:2014/04/24(木) 23:42:57.74 ID:7NnPSQbB0
struts-configみてこの仕組考えたやつ馬鹿だろって思ったわ
35名無しさん@13周年@転載禁止:2014/04/24(木) 23:46:03.42 ID:Amvy8gu30
やっぱJSFに回帰すべきか
36名無しさん@13周年@転載禁止:2014/04/24(木) 23:51:26.65 ID:i1AM97m20
>>19
それ以外に読むのは難しそう
37名無しさん@13周年@転載禁止:2014/04/24(木) 23:54:11.80 ID:2IPCGgKpO
わざと穴を開けておいたのか。
インターネットはアメリカ様に敵いません。
しかし、やばい穴だな。
38名無しさん@13周年@転載禁止:2014/04/25(金) 00:05:34.56 ID:NcxkniRI0
あぱっちなんか辞めてナウでヤングはロシア製のnginx使ってるぜ
39名無しさん@13周年@転載禁止:2014/04/25(金) 00:10:50.46 ID:x8GDYr0G0
>>36
勝手にストラトスと呼んでいたのだが
40名無しさん@13周年@転載禁止:2014/04/25(金) 00:10:55.78 ID:5KvZfJyd0
>>31
攻撃コードを晒しちゃまずいだろ
悪用促進するだけ
41名無しさん@13周年@転載禁止:2014/04/25(金) 00:11:36.43 ID:5Ig3Ebx20
そもそもインターネットで認証が必要なシステムを作る必要があるのか
今回の一連のセキュリティ騒動を機にユーザー企業の人たちで議論して欲しい

ネットバンキングサービスやネット決済(購入)サービスなんかは
攻撃者から見たら宝の山だ。
42名無しさん@13周年@転載禁止:2014/04/25(金) 00:13:05.08 ID:5KvZfJyd0
>>39
cuts カットス
nuts ナットス
Coconuts ココナットス

って読むのかよ
43名無しさん@13周年@転載禁止:2014/04/25(金) 00:15:36.46 ID:NpI3JwL70
Struts1 て、Seasar2 もこれをベースに使ってなかったっけs2-strutsだったっけ。
だとしたら影響及ぶ範囲広がりそうだなあ。
44名無しさん@13周年@転載禁止:2014/04/25(金) 00:17:39.27 ID:x8GDYr0G0
>>42
雅な読みのほうが良いからね
なるべく探す
45名無しさん@13周年@転載禁止:2014/04/25(金) 00:20:42.92 ID:goL4G91X0
Apache Commons FileUpload

これが原因なら、これだけ置き換えりゃええだけやろうに
Struts1自体が問題なんかはっきりせんな
pomのdependencyに1.1.1があるからのう
46名無しさん@13周年@転載禁止:2014/04/25(金) 00:30:46.95 ID:BxyXC6US0
SAStrutsにも影響あるのかな?
47名無しさん@13周年@転載禁止:2014/04/25(金) 00:31:21.62 ID:5Ig3Ebx20
NRIやNTTデータ等のITゼネコンはStruts1ベースの独自フレームワークを使っているところが大半だから
明日、ITゼネコンのアプリ基盤担当者は阿鼻叫喚だろうな
48名無しさん@13周年@転載禁止:2014/04/25(金) 00:35:09.25 ID:goL4G91X0
>>40
攻撃コードっていうか問題のあるソースだけでええんだわ
ふつーの堅いStrutsのコードなのか、下手な使いかたしてるコードなのか

それが知りたいね
49名無しさん@13周年@転載禁止:2014/04/25(金) 01:22:13.80 ID:GOrg0/sk0
>>45
え、そうなの?じゃあStruts自体の問題じゃないな
50名無しさん@13周年@転載禁止:2014/04/25(金) 01:25:47.29 ID:zOvpApKF0
「ストラナッツ」だと、どこの国か忘れたが「外人兵」って意味だった気がするわ
51名無しさん@13周年@転載禁止:2014/04/25(金) 01:30:47.46 ID:OhHg4U1n0
>>39
車の方、ストラトスって呼んでたからなぁ
52名無しさん@13周年@転載禁止:2014/04/25(金) 01:45:29.90 ID:gFJ9k+rl0
懐かしいな。
一時期Struts1.x案件だらけだったものでなぁ・・・
53名無しさん@13周年@転載禁止:2014/04/25(金) 03:29:04.78 ID:rs6Z9qJv0
んで結局Strutsのどの機能がヤバいわけ?
そこまで書かないと対応のしようがない。
つーか、代替フレームワークのプロパガンダかよ、と思うわな。
54名無しさん@13周年@転載禁止:2014/04/25(金) 04:58:33.61 ID:tw+RMZJb0
>>53
根本的にキジャクなのを、入力の確認をあぱっちして凌いできた。
外部からsetter,getterが呼び出せる仕様そのものがキジャクセイの元なので、
入力確認だけでは凌ぎきれないんじゃないかな。
実際、凌ぎきれないから次々にexcludeParamsを足してきたわけだし。
55名無しさん@13周年@転載禁止:2014/04/25(金) 05:24:05.23 ID:IIE6i79L0
オープンのほうが作りが適当だと何度言ったら。
56名無しさん@13周年@転載禁止:2014/04/25(金) 06:39:49.10 ID:xavqeAy60
Struts1.3の案件でよくクライアントが納得するよね。
seasar2もまだまだ健在では。
WinXPの継続使用といい、セキュリティに関して甘すぎるでしょ。

という私もstruts spring hibernateの世代。
5753@転載禁止:2014/04/25(金) 06:59:21.78 ID:rs6Z9qJv0
>>54
ありがとう。
でも、まだ分からんのだよな。
setter,getterが呼び出せると言っても、それはアプリケーションサーバのJavaVMに
乗っかるか、またはサーバ側にネットワーク接続の口がないとアクセスできないんじゃ?
それでもあやしければ必要なポート以外は塞いじゃうとか、それじゃダメなの?
58名無しさん@13周年@転載禁止:2014/04/25(金) 07:34:27.72 ID:5Ig3Ebx20
と言うか何がヤバイじゃなくて
何でもされてしまうのがヤバイということ
59名無しさん@13周年@転載禁止:2014/04/25(金) 08:00:41.79 ID:tw+RMZJb0
>>57
なんだっけ? インジェクション的なもの。
GETなりPOSTなりのパラメータに入れるだけで、お好みのコマンドが実行できるやつ。
モザイクではっきりしないけど、実証コードによれば、それがやれるようだ。
根本的な修正がなければ、今までどおり次から次へと出てくるんじゃないかな。
注意喚起でも、「対策」ではなく、「影響緩和」と書いているくらいだし。
60名無しさん@13周年@転載禁止:2014/04/25(金) 08:57:49.67 ID:s7BJnwlf0
最近のフレームワークは GET/POST パラメタの name/value で内部のオブジェクトや DB-column の name に対応させちゃう物多いだろ。
パラメタ増やした時の修正を楽にする為に。そういうのは根本的に同様の問題の可能性を内包してるんじゃないか?
61名無しさん@13周年@転載禁止:2014/04/25(金) 12:52:13.59 ID:t23Bq9SY0
>>54
キジャク?脆弱のことかな・・・・「ゼイジャク」
62名無しさん@13周年@転載禁止:2014/04/25(金) 13:30:31.45 ID:l4+OAcgh0
63名無しさん@13周年@転載禁止:2014/04/25(金) 13:33:06.80 ID:TmqsLz000
トラップソフトだと以前から言われてただろ…

導入決めた奴、外国のスパイ。
64名無しさん@13周年@転載禁止:2014/04/25(金) 13:33:51.05 ID:OZuwKgJFO
え、オープンソースなのにサポート終了ってどういうこと!?
オープンソースだからサポート永遠に続くって言うから導入したのに!?
65名無しさん@13周年@転載禁止:2014/04/25(金) 13:38:33.31 ID:OZuwKgJFO
あとオープンソースだからセキュリティホールはすぐに対策されるって聞いたのですぐに治してね
66名無しさん@13周年@転載禁止:2014/04/25(金) 13:39:23.63 ID:t23Bq9SY0
67名無しさん@13周年@転載禁止:2014/04/25(金) 13:39:44.62 ID:TBzR/Pye0
今時JSP自体どうなのよと思うけど
官公庁なら有りえるのかもな
68名無しさん@13周年@転載禁止:2014/04/25(金) 13:48:01.48 ID:oPHQDRUw0
PHP「また勝ってしまったか」
69名無しさん@13周年@転載禁止:2014/04/25(金) 13:52:28.64 ID:l4+OAcgh0
70名無しさん@13周年@転載禁止:2014/04/25(金) 13:55:34.90 ID:jIVp4dPZ0
クジャクがどうかしたのか、パッチか?それは履いてないとだめだろ
71名無しさん@13周年@転載禁止:2014/04/25(金) 13:56:33.13 ID:y1eGSD/J0
素人だけどサポート終わったものを使い続けるとか
恐ろしい事だと思うわ。
72名無しさん@13周年@転載禁止:2014/04/25(金) 14:23:11.13 ID:IIE6i79L0
結局、MSにお金払うのが一番安心。オープン陣営は無責任すぎる。
73名無しさん@13周年@転載禁止:2014/04/25(金) 14:27:31.70 ID:l4+OAcgh0
MSはないわー。富士ソフトに金払うのが一番安心。
74名無しさん@13周年@転載禁止:2014/04/25(金) 14:33:15.28 ID:oPHQDRUw0
>>72
>>73
オレに支払えばseasar2で作り直してあげよう
75名無しさん@13周年@転載禁止:2014/04/25(金) 14:38:53.59 ID:B/ls99YK0
>>67
中規模以上になるとまだまだJavaは現役。
というかJavaばっか
76名無しさん@13周年@転載禁止:2014/04/25(金) 15:40:09.66 ID:KbfMwi/B0
Struts 2の脆弱性は最新版でも未修正、Struts 1にも同様の脆弱性が存在
http://www.atmarkit.co.jp/ait/articles/1404/24/news172.html

脆弱性を修正したはずのWebアプリケーションフレームワーク「Apache Struts 2」の最新版、バージョン2.3.16.1に、いまだに脆弱性が残っている。さらに、既にサポートの終了している「Struts 1」にも同様の脆弱性が存在するという。
77名無しさん@13周年@転載禁止:2014/04/25(金) 19:48:02.77 ID:DxT3H7k90
>>72
自前でフレームワークのアプデ出来るのが
オプソのいい所だったはずw
78名無しさん@13周年@転載禁止:2014/04/25(金) 19:51:26.45 ID:INMmkAXX0
>>71
一度作って動いてるシステムを書き直すほど無駄なものはないからな

>>60
なにそれ
param[:hoge]で特定のコントローラの特定のアクションにアクセスしたら自動的に特定モデルのHogeに結びつくの?
79名無しさん@13周年@転載禁止:2014/04/25(金) 19:51:56.56 ID:9hZffSzD0
独自フレームワークなのでハッカーが全く構造を理解できない俺様の作ったシステム最強。
おまえらも多分俺のお世話になってるぞ。
80名無しさん@13周年@転載禁止:2014/04/25(金) 19:57:09.46 ID:IIE6i79L0
>>77
怠惰、傲慢な公務員がそんなことするわけないだろ。

公務員が本気になるのは待遇改善だけ。
81名無しさん@13周年@転載禁止:2014/04/25(金) 20:01:35.96 ID:SWeL4tas0
オープンオフィスも今後危なくなる可能性があるってことか。
82名無しさん@13周年@転載禁止:2014/04/26(土) 00:01:32.71 ID:P80jCppu0
ニュース - 国税庁がStruts脆弱性で確定申告書作成サービス停止、「再開までは手書きで」:ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20140425/553462/?ST=oss
83名無しさん@13周年@転載禁止:2014/04/26(土) 00:06:53.99 ID:JoCyZk8t0
この対応のために何百億円の税金が消えていくんだろうな
84名無しさん@13周年@転載禁止:2014/04/26(土) 00:13:01.45 ID:rRMh0Kpv0
へい
俺はマジでガセネタだと思ってた。
正直すまんかった。

これはマジでやばい
85名無しさん@13周年@転載禁止:2014/04/26(土) 00:17:14.90 ID:xw5y1uvo0
そもそもJAVAは信用できない
86名無しさん@13周年@転載禁止@転載禁止:2014/04/26(土) 00:27:38.53 ID:vqxbwlBT0
XPサポート終了であれだけ騒いでいても、この有様。

公務員にとって、自分以外の国民の個人情報など、
気にもとめていない。

自分たちが殺される事になれば、警察を脅して、
警護に就かせようとするくせに。

断られれば、勝手に国民の税金で警備員を雇うし。
87名無しさん@13周年@転載禁止:2014/04/26(土) 01:15:05.94 ID:/Y0PuqZ20
正確にはstrutsではなく、Apache commons-beanutilの問題。
俺のところは独自フレームワークだから問題ないぜ〜と言ってる連中も
かなりの確立でこれのお世話になっている可能性が高いので相当あぼーんするんじゃね
88名無しさん@13周年@転載禁止:2014/04/26(土) 01:23:07.21 ID:3KfEIh030
こういうネットセキュリティ関連の問題何とかしろよ
政治家やお役所のおっさんは重要性分かってなさ過ぎだろ
89名無しさん@13周年@転載禁止:2014/04/26(土) 01:25:56.59 ID:rRMh0Kpv0
>>87
フォームにマッピングするときにリフレクションして
プロパティが存在すればsetとかすりゃよかったのにって思う。

これはブチ抜けるからね。
検証してびびった。
90名無しさん@13周年@転載禁止:2014/04/26(土) 06:45:02.13 ID:tLVxkeWqO
>>86>>88
個人情報の重要性まではわかっていても、システムわかっている奴が致命的に少ない。
個人情報保護法は丸暗記していても「できるWindows」とか買って一生懸命読まないと新しいパソ
コン使えないぐらい低いITスキルだったり。
そのくせIT専門部署が無いとか、あっても全くITスキルと関係なく人事はめるとか。
91名無しさん@13周年@転載禁止:2014/04/26(土) 07:41:23.12 ID:/0uM30sJ0
つか、未だにweb.xmlをシコシコ書いてるんだよな。知能が低い猿やでホンマ。
92名無しさん@13周年@転載禁止:2014/04/26(土) 07:50:36.41 ID:LlV+YD5G0
>>71
予算つけてくれれば入れ替えますよ
システム再構築で100人月くらいです
93名無しさん@13周年@転載禁止:2014/04/26(土) 09:51:20.91 ID:4BOsZSes0
これ、放置プレイ中なの?
94名無しさん@13周年@転載禁止:2014/04/26(土) 10:37:35.91 ID:/Y0PuqZ20
今回のは国内に相当数出回っている大衆車の共通部品に欠陥があったようなものだから
お役所のおっさんに知識求めるのはお門違いな希ガス

今回を機に、ネットでサービスしないほうが24時間誰かを張り付かせるコストもかからないし
セキュリティリスク無くていいんじゃね?になっていきそうな気がする
95名無しさん@13周年@転載禁止:2014/04/26(土) 10:48:29.91 ID:u/2NEJFC0
>>94
他とは切り離されたLANにつながった役所内の利用者向け端末で操作させたほうが安心っちゃ安心だよね。
大抵のことはそれで用が済むんだし、わざわざインターネットで全世界に公開する必然性のないものも多い。
インターネットで公開するのはe-Taxとか登記情報とか特許検索とかごく一部の全国的サービスだけでいいよ。
96名無しさん@13周年@転載禁止:2014/04/26(土) 11:17:33.47 ID:KoGdQlM50
とりあえず72時間以内に何か出てくるらしいけど
この程度でサービス止めるなよ ><
まさか、管理者権限で動かしてるのかよ?w
97名無しさん@13周年@転載禁止:2014/04/26(土) 11:22:36.48 ID:KoGdQlM50
>>54
き...脆弱
98名無しさん@13周年@転載禁止:2014/04/26(土) 11:39:01.32 ID:KoGdQlM50
>>92
ちょっw そんなにぼれるのかよw
99名無しさん@13周年@転載禁止:2014/04/26(土) 11:57:01.19 ID:QMT4bXIE0
ApacheもIISも脆弱性多いな。
どのWebサーバー使えば安心なんだ?
100名無しさん@13周年@転載禁止:2014/04/26(土) 12:07:03.73 ID:u/2NEJFC0
>>99
nginx
101名無しさん@13周年@転載禁止:2014/04/26(土) 12:09:12.68 ID:KoGdQlM50
>>72
NSA専用の穴あきソフトかぁ
102名無しさん@13周年@転載禁止:2014/04/26(土) 12:11:38.95 ID:42jbYEIo0
ストラッツ1 w なんで自前パッチもあてられんの?
見積り、仕様書提出とか w そんなレベルかい。
103名無しさん@13周年@転載禁止:2014/04/26(土) 12:12:02.88 ID:/Nac/lFrO
公になったのが初めてって気がするな
104名無しさん@13周年@転載禁止:2014/04/26(土) 12:28:23.44 ID:QMT4bXIE0
>>100
Nginxにも脆弱性問題あったようだが、すぐに修正されてるし、確かに現状では一番良いかもな。
105名無しさん@13周年@転載禁止:2014/04/26(土) 13:09:57.60 ID:LPjJHdwN0
ライフサイクルを曖昧にシステム設計する日本の悪弊。
システムには寿命があるってのを理解できない。
役人や購買担当ならまだしも、設計者も解ってない。

俺が、このシステムは5年しか使えません。その後は保障もメンテもしません。
適切なマイグレーション計画を立てて下さい。予算計画立てておいて下さい。
とか客に説明すると営業から叱られる。余計な事言うなと。
余計な事じゃなくて一番大切な事なのに。
で、客はシステムは未来永劫使えるものだと思って導入。業務がそのシステムに依存するまでに。
で、壊れる。直せとか言う。とっくに部品ありません。で、客もこっちも社内が大騒ぎ。
言わんこっちゃない。毎回だよw
寿命の明記をなんらかの形で法制化して欲しいのだが。
106名無しさん@13周年@転載禁止:2014/04/26(土) 14:53:07.31 ID:lIzUe0HC0
>>99
WEBサーバと一言でいってもHTTP単純にやり取りする奴と連携してスクリプトエンジンやらフレームワークやらデータベースやらがあるし、WEBサーバ動かしてるOSあるんやで
それぞれがボロボロ何か問題出し続けとる状況や
107名無しさん@13周年@転載禁止:2014/04/26(土) 18:30:04.80 ID:eqgus+3b0
技術は日進月歩なので、Struts1.xとかオープンソースの言語を使う自体に
限界があったのかもしれない。

基幹業務システムもoffceのように、MicrosoftのC#やAsp.net.NVCを
使っていたら良かったのではないかとも思えてしまう。
108名無しさん@13周年@転載禁止:2014/04/26(土) 20:03:18.40 ID:1qarheTI0
オープンソースなんだから自分たち出修正すればいいだけ
かんたんだろ
109名無しさん@13周年@転載禁止:2014/04/26(土) 20:20:12.21 ID:KoGdQlM50
>>105
基幹系なら客が当然わかってることだけど
そのへんの一般システム担当の顧客じゃ無理だねw
要求仕様に何も書いてないんだろ?w
110名無しさん@13周年@転載禁止:2014/04/26(土) 20:40:50.41 ID:/Y0PuqZ20
>>105
そう言いたい気持ちは分かるが一般客から見たら魅力ゼロだな
PCや車や建物は6年以上使えるのになんでシステムだけ5年縛りなんだと言われたら反論できるか?
111名無しさん@13周年@転載禁止:2014/04/26(土) 20:41:38.14 ID:cIdFj+UJ0
サイト構築ソフト・ストラッツwwww
112名無しさん@13周年@転載禁止:2014/04/26(土) 22:21:34.94 ID:KoGdQlM50
確定申告のサイトをよくよく読んでみたらStruts1かよw
当分治りそうにないなw
来年まで確定申告は持ち越しだなw
113名無しさん@13周年@転載禁止:2014/04/26(土) 22:25:49.08 ID:KoGdQlM50
>>107
だよな〜
struts1じゃ明らかにサポート終了してるわけでw
まさか客に提案してないんかね?w

ま、俺の場合は遅くなっても税金増えないから
確定申告は来年に出すことになるんだと思うw
114名無しさん@13周年@転載禁止:2014/04/27(日) 13:55:10.20 ID:DDt0DLZR0
>>107
オープソースと開発言語になんの関係が…
115名無しさん@13周年@転載禁止:2014/04/27(日) 22:20:33.12 ID:6/QLrTqN0
>>114
それはoffceから目を逸らす為の工作ですね。
わかります。
116名無しさん@13周年@転載禁止:2014/04/28(月) 11:10:21.58 ID:Sa5IZIKY0
うちのStruts1.3.X使ってるけど、こんなんStrutsのRequestUtilsちょっと修正するだけ
これでこの世の終わりのように騒いでる連中はなんなんだろう

で、Strutsの問題って大騒ぎしてるけどSpringでもbeanUtils使ってるアプリは問題起きる
うちじゃメール系システムで同じ問題発見して現在対応中

まぁ自前で保守できないならサポート期限切れたフレームワークは使っちゃいかん罠
117名無しさん@13周年@転載禁止:2014/04/28(月) 16:41:30.94 ID:GJP1ZG780
>>116
その場凌ぎを続けてきた本隊にコミットすればいいのに。
スーパーハカーには、利用だけじゃなくて還元もして欲しい
118名無しさん@13周年@転載禁止:2014/04/28(月) 16:46:56.48 ID:Wrpu1iPc0
フレームワークのRequestUtils.javaでBeanUtilsのpopulateにバリデーション無しでパラメータ突っ込ん
じゃってるのが原因らしい httpリクエストの属性に'classLoader'とか仕込むと
通常じゃ考えられないgetClassLoader()なんてゆー凶暴な召還獣を呼び出せちゃったりする

 リクエストの中に"class"があったら別の文字列にリプレイス
して渡してあげるかafwで%class%な属性を含むリクエストを
ねこそぎ弾く対策が推奨されてるようだがclass○○的な属性を持つBeanを作ってたら影響出るな

バックグラウンドでいろいろやってくれる便利なフレームワークだけどなにをしてくれて
いるのか知らないまま丸投げするとこーゆーことになる
いまごろFとかNとか大騒ぎなことだろう ゴールデンウィークは対策バージョン
のリグレッションテスト頑張ってくれたまえ
にわとり諸君
119名無しさん@13周年@転載禁止:2014/04/29(火) 00:47:17.29 ID:zzNGfg5b0
>>116
システム屋はそれでいいけどな
騒いでるのは外注していま完成品を使ってる企業だろ
120名無しさん@13周年@転載禁止
>>119
その事情を理解出来ないシステム屋も一種の情報弱者