【IT】サイト構築ソフト・ストラッツ1(Struts 1)に欠陥　パッチなく官公庁などサイバー攻撃の恐れ [4/24]

サイト構築ソフトに欠陥　官公庁などサイバー攻撃の恐れ
http://www.nikkei.com/article/DGXNASDZ240HW_U4A420C1EA2000/
日本経済新聞　2014/4/24 22:41


　ウェブサイトを作成するために官公庁や銀行、企業などが広く利用しているソフ
ト「ストラッツ１」にセキュリティー上の欠陥（脆弱性）があることが24日分かっ
た。個人情報や機密情報を盗まれたりサイトが改ざんされたりするサイバー攻撃の
恐れがある。同ソフトはサポートが終了しており、現在のところ修正プログラム（
パッチ）は無い。すでに攻撃方法がインターネット上で公開されており、早急に対
応が必要だ。

　ストラッツ１はサイト作成や運用に利用するソフトで無償公開されている。2000
年代初頭から企業や団体が採用、独立行政法人「情報処理推進機構」（ＩＰＡ）に
よると現在も多くの省庁や企業などで使われているという。

　開発元である米非営利団体アパッチ・ソフトウエア財団は08年に最終版を出荷、
13年４月にサポートを終了してパッチの提供を停止した。欠陥が見つかったのは08
年以降で初めて。今後も新たな欠陥が見つかる可能性もある。

　欠陥を突いてサイバー攻撃を受けた場合、サイトを動かすシステムを乗っ取られ
る恐れがある。すべての操作をできるため情報を盗んだり、サイトを改ざん・停止
できたりする。ウイルスを仕掛けることで、訪問者を感染させて次の攻撃につなげ
ることも容易になる。

　官公庁などにストラッツ１を使ったシステムを多く納入するＮＴＴデータがパッ
チを作る方針を打ち出している。だが、現状では「作成完了日は未定」という。

（>>2以降に続く）

　企業など利用者の対策の一つは新たなソフトを使ってサイトを作り直すこと。も
う一つは攻撃を一時的にかわす応急措置だ。システムを構築した開発者なら、攻撃
のアクセスを特定できれば対応できる見通し。

　情報セキュリティー大手のトレンドマイクロは攻撃アクセスを防ぐソフトの販売
を始めており、これを使って一時的な対応も可能。シマンテックも同様の製品を出
荷した。

　内閣官房情報セキュリティセンターは24日、各省庁に注意喚起し早期対応を呼び
かけた。総務省は「政治資金関係申請・届出オンラインシステム」でストラッツ１
を使っているとみられ、「運用を委託する富士ソフトを通じて確認中」（政治資金
課）という。

　ネット上の不審な通信を監視している警察庁は、今回明らかになった欠陥を狙っ
たとみられる不審なアクセスは24日夕時点で把握していないとしている。ただ、ト
レンドマイクロによると、すでに攻撃方法がネット上に公開されており、今後、被
害がまん延する可能性もあるという。

　ネット上では通信を暗号化するソフト「オープンＳＳＬ」の欠陥が引き金になっ
て三菱ＵＦＪニコスが約900人の個人情報を盗み見られるなどの被害が世界的に発
生したばかり。オープンＳＳＬはパッチがあるが、今回は本格的な対策には時間が
かかりそうだ。

（以上）

Javaで開発経験3年以上
ストラッツの経験ある人

大手になればなるほど入れっぱなしが多いなぁ

怖ええ

SEにかね払えよ

>>4
やっぱりセキュリティパッチ一つ当てるのにも見積書、テスト仕様書、テスト結果報告書とかの書類の山の稟議がいるの？

Struts1系なんて、未だにばりばり使う現場あるからな。
レガシーシステムでそのままのところも相当数ある。

こりゃ金になるな！

だからフレームワークなんて使うなって俺が何度も言ったのに。
プログラム板でそれ言うとなぜか叩かれるんだよね。
プログラマーなんて視野が狭いやつばっか。

よ〜わからんがこの手の攻撃はちょっとした手直しで防げる
誰か対処法を公開してやれ
いや、それとも霞ヶ関が金出して対処法を買え
100万円も出せば誰かがやってくれるさ

>>9
そうは言うがな
運用がずさんな所はオレームワークでやっても
結局フレームワーク使ったほうがよかったって話になるんよ

ルーティングしてる処理内のリフレクションで不正なパラメータによっておかしな挙動をするとかかな。どういう穴なのかすごく興味ある。

Struts1.xはJavaの化石フレームワーク

海外では1%程度しか使われてないのに
時代遅れの日本のIT業界ではStrutsがかなり使われている

Struts1.xはとっくにメンテナンスも終了してるし終わったな
「枯れた技術は安全」とか言ってた馬鹿は慌ててるだろうな

Strutsみたいな古い技術で開発してる奴らほんとアホだわ

だれか検証内容をおしえてくれｗ
正直ようわからんぞ

政府が無料ソフト使うなや

2007年1月の時点で、最初のexcludeParamsが登場しました。

<param name="excludeParams">dojo\..*</param>

2008年6月に、strutsという単語が追加されます。

<param name="excludeParams">dojo\..*,^struts\..*</param>

2012年3月に、一気に複数の単語が追加されます。

<param name="excludeParams">dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,parameters\...*</param>
少なくともこの時点で「何かおかしい」と気付いて方向転換するべきではないかと思います。

2013年10月に、actionとmethodが追加されます。

<param name="excludeParams">^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>

2014年3月になり、S2-020の修正としてclassが追加されます。現時点(2014年4月)で「最もセキュアである」とみなさんが認識されている、最新版(2.3.16.1)の内容がこちらです。

<param name="excludeParams">^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>

http://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html

糞ﾜﾛﾀwwww

>>9
フレームワーク使うのは悪くないだろ
使わないと生産性が落ちる

ASP.netみたいにちゃんとベンダーがセキュリティパッチを
長期間にわたって提供しているものもある

問題はメンテナンスが終了したようなものを
「枯れているから安全だ」、という誤った知識で使おうとする日本の体質

またDATAで腕利きの派遣が格安で駆り出されるんだな

ストラッツって読むのか
カタカナ表記は初めて見たから新鮮

タダより高いモノは無い。

ってね。ｗｗｗｗｗｗ

>>16
Struts2じゃん
Struts1でどうなのか
この情報が出てないんだなぁ

>>10
そんな風だから直せないんだな

これ本当なんかはっきりせんなぁ
Struts1.xとStruts2.xは全然別物のフレームワークなんだけどね。

Struts2は元々WebWorkベースだぜ？
じつは勘違いなんじゃないか説が俺の中である。

>>11
オレームワークのほうがメンテしやすいでしょ
会社変わっても引き継ぎさえちゃんとらやれば

>>17
そりゃMSみたいなところはマシだと思うけど
それとていつ切られるかわからんよね

カタカナ表記www
IT音痴が記者やってんだか編集規約決めてんだか…

コードイグナイターってどうなるをだろう

>>21
1は確か既知のバグ潰し切らないで終わらせたとかで、その時点で騒ぎになってた記憶がある

記事通りStruts1でも脆弱性攻撃でセキュリティ・ホール確認
www.lac.co.jp/security/alert/2014/04/24_alert_01.html

>>13
安定性オタクな。安全性はどーでもいいとwww

このGWは「時代に合ったアップデートなどセキュリティー対策してないと危ないよ」のデモンストレーションになるのですね

>>3
> Javaで開発経験3年以上
ﾉｼ

> ストラッツの経験ある人
ﾅﾆｿﾚｳﾏｲﾉ? ﾄﾞﾝﾅｱｼﾞ?

>>28
それ俺も見たけど、画像ぼかしすぎなんだよな

Githubにあげろやって思う

>>30
香ばしいGW到来
トレンディな某セキュリティソフトの会社がアップデートでテロ仕掛けて大騒ぎになったこともあったなw

ラック、はっきりした証拠をソースであげんかいワレェぇ！って感じ

画像が証拠じゃ話しならん。
STAP細胞じゃねーんだぞｗ

struts-configみてこの仕組考えたやつ馬鹿だろって思ったわ

やっぱJSFに回帰すべきか

>>19
それ以外に読むのは難しそう

わざと穴を開けておいたのか。
インターネットはアメリカ様に敵いません。
しかし、やばい穴だな。

あぱっちなんか辞めてナウでヤングはロシア製のnginx使ってるぜ

>>36
勝手にストラトスと呼んでいたのだが

>>31
攻撃コードを晒しちゃまずいだろ
悪用促進するだけ

そもそもインターネットで認証が必要なシステムを作る必要があるのか
今回の一連のセキュリティ騒動を機にユーザー企業の人たちで議論して欲しい

ネットバンキングサービスやネット決済（購入）サービスなんかは
攻撃者から見たら宝の山だ。

>>39
cuts　カットス
nuts　ナットス
Coconuts　ココナットス

って読むのかよ

Struts1 て、Seasar2 もこれをベースに使ってなかったっけs2-strutsだったっけ。
だとしたら影響及ぶ範囲広がりそうだなあ。

>>42
雅な読みのほうが良いからね
なるべく探す

Apache Commons FileUpload

これが原因なら、これだけ置き換えりゃええだけやろうに
Struts1自体が問題なんかはっきりせんな
pomのdependencyに1.1.1があるからのう

SAStrutsにも影響あるのかな？

NRIやNTTデータ等のITゼネコンはStruts1ベースの独自フレームワークを使っているところが大半だから
明日、ITゼネコンのアプリ基盤担当者は阿鼻叫喚だろうな

>>40
攻撃コードっていうか問題のあるソースだけでええんだわ
ふつーの堅いStrutsのコードなのか、下手な使いかたしてるコードなのか

それが知りたいね

>>45
え、そうなの？じゃあStruts自体の問題じゃないな

「ストラナッツ」だと、どこの国か忘れたが「外人兵」って意味だった気がするわ

>>39
車の方、ストラトスって呼んでたからなぁ

懐かしいな。
一時期Struts1.x案件だらけだったものでなぁ・・・

んで結局Strutsのどの機能がヤバいわけ？
そこまで書かないと対応のしようがない。
つーか、代替フレームワークのプロパガンダかよ、と思うわな。

>>53
根本的にｷｼﾞｬｸなのを、入力の確認をあぱっちして凌いできた。
外部からsetter,getterが呼び出せる仕様そのものがｷｼﾞｬｸｾｲの元なので、
入力確認だけでは凌ぎきれないんじゃないかな。
実際、凌ぎきれないから次々にexcludeParamsを足してきたわけだし。

オープンのほうが作りが適当だと何度言ったら。

Struts1.3の案件でよくクライアントが納得するよね。
seasar2もまだまだ健在では。
WinXPの継続使用といい、セキュリティに関して甘すぎるでしょ。

という私もstruts spring hibernateの世代。

>>54
ありがとう。
でも、まだ分からんのだよな。
setter,getterが呼び出せると言っても、それはアプリケーションサーバのJavaVMに
乗っかるか、またはサーバ側にネットワーク接続の口がないとアクセスできないんじゃ？
それでもあやしければ必要なポート以外は塞いじゃうとか、それじゃダメなの？

と言うか何がヤバイじゃなくて
何でもされてしまうのがヤバイということ

>>57
なんだっけ?　インジェクション的なもの。
GETなりPOSTなりのパラメータに入れるだけで、お好みのコマンドが実行できるやつ。
モザイクではっきりしないけど、実証コードによれば、それがやれるようだ。
根本的な修正がなければ、今までどおり次から次へと出てくるんじゃないかな。
注意喚起でも、「対策」ではなく、「影響緩和」と書いているくらいだし。

最近のフレームワークは GET/POST パラメタの name/value で内部のオブジェクトや DB-column の name に対応させちゃう物多いだろ。
パラメタ増やした時の修正を楽にする為に。そういうのは根本的に同様の問題の可能性を内包してるんじゃないか？

>>54
ｷｼﾞｬｸ？脆弱のことかな・・・・「ゼイジャク」

>>61>>61>>61>>61>>61

トラップソフトだと以前から言われてただろ…

導入決めた奴、外国のスパイ。

え、オープンソースなのにサポート終了ってどういうこと！？
オープンソースだからサポート永遠に続くって言うから導入したのに！？

あとオープンソースだからセキュリティホールはすぐに対策されるって聞いたのですぐに治してね

>>62
ネタにマジレスしてみる

脆弱
http://dictionary.goo.ne.jp/leaf/jn2/121749/m0u/
きじゃく
http://dictionary.goo.ne.jp/srch/jn/%E3%81%8D%E3%81%98%E3%82%83%E3%81%8F/m0u/

今時JSP自体どうなのよと思うけど
官公庁なら有りえるのかもな

PHP「また勝ってしまったか」

>>66>>66>>66>>66>>66

クジャクがどうかしたのか、パッチか？それは履いてないとだめだろ

素人だけどサポート終わったものを使い続けるとか
恐ろしい事だと思うわ。

結局、MSにお金払うのが一番安心。オープン陣営は無責任すぎる。

MSはないわー。富士ソフトに金払うのが一番安心。

>>72
>>73
オレに支払えばseasar2で作り直してあげよう

>>67
中規模以上になるとまだまだJavaは現役。
というかJavaばっか

Struts 2の脆弱性は最新版でも未修正、Struts 1にも同様の脆弱性が存在
http://www.atmarkit.co.jp/ait/articles/1404/24/news172.html

脆弱性を修正したはずのWebアプリケーションフレームワーク「Apache Struts 2」の最新版、バージョン2.3.16.1に、いまだに脆弱性が残っている。さらに、既にサポートの終了している「Struts 1」にも同様の脆弱性が存在するという。

>>72
自前でフレームワークのアプデ出来るのが
オプソのいい所だったはずｗ

>>71
一度作って動いてるシステムを書き直すほど無駄なものはないからな

>>60
なにそれ
param[:hoge]で特定のコントローラの特定のアクションにアクセスしたら自動的に特定モデルのHogeに結びつくの？

独自フレームワークなのでハッカーが全く構造を理解できない俺様の作ったシステム最強。
おまえらも多分俺のお世話になってるぞ。

>>77
怠惰、傲慢な公務員がそんなことするわけないだろ。

公務員が本気になるのは待遇改善だけ。

オープンオフィスも今後危なくなる可能性があるってことか。

ニュース - 国税庁がStruts脆弱性で確定申告書作成サービス停止、「再開までは手書きで」：ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20140425/553462/?ST=oss

この対応のために何百億円の税金が消えていくんだろうな

へい
俺はマジでガセネタだと思ってた。
正直すまんかった。

これはマジでやばい

そもそもJAVAは信用できない

ＸＰサポート終了であれだけ騒いでいても、この有様。

公務員にとって、自分以外の国民の個人情報など、
気にもとめていない。

自分たちが殺される事になれば、警察を脅して、
警護に就かせようとするくせに。

断られれば、勝手に国民の税金で警備員を雇うし。

正確にはstrutsではなく、Apache commons-beanutilの問題。
俺のところは独自フレームワークだから問題ないぜ〜と言ってる連中も
かなりの確立でこれのお世話になっている可能性が高いので相当あぼーんするんじゃね

こういうネットセキュリティ関連の問題何とかしろよ
政治家やお役所のおっさんは重要性分かってなさ過ぎだろ

>>87
フォームにマッピングするときにリフレクションして
プロパティが存在すればsetとかすりゃよかったのにって思う。

これはブチ抜けるからね。
検証してびびった。

>>86>>88
個人情報の重要性まではわかっていても、システムわかっている奴が致命的に少ない。
個人情報保護法は丸暗記していても「できるWindows」とか買って一生懸命読まないと新しいパソ
コン使えないぐらい低いITスキルだったり。
そのくせIT専門部署が無いとか、あっても全くITスキルと関係なく人事はめるとか。

つか、未だにweb.xmlをシコシコ書いてるんだよな。知能が低い猿やでホンマ。

>>71
予算つけてくれれば入れ替えますよ
システム再構築で100人月くらいです

これ、放置プレイ中なの？

今回のは国内に相当数出回っている大衆車の共通部品に欠陥があったようなものだから
お役所のおっさんに知識求めるのはお門違いな希ガス

今回を機に、ネットでサービスしないほうが24時間誰かを張り付かせるコストもかからないし
セキュリティリスク無くていいんじゃね？になっていきそうな気がする

>>94
他とは切り離されたLANにつながった役所内の利用者向け端末で操作させたほうが安心っちゃ安心だよね。
大抵のことはそれで用が済むんだし、わざわざインターネットで全世界に公開する必然性のないものも多い。
インターネットで公開するのはe-Taxとか登記情報とか特許検索とかごく一部の全国的サービスだけでいいよ。

とりあえず72時間以内に何か出てくるらしいけど
この程度でサービス止めるなよ ＞＜
まさか、管理者権限で動かしてるのかよ？ｗ

>>54
き...脆弱

>>92
ちょっｗ そんなにぼれるのかよｗ

ApacheもIISも脆弱性多いな。
どのWebサーバー使えば安心なんだ？

>>99
nginx

>>72
NSA専用の穴あきソフトかぁ

ストラッツ１　ｗ　なんで自前パッチもあてられんの？
見積り、仕様書提出とか　ｗ　そんなレベルかい。

公になったのが初めてって気がするな

>>100
Nginxにも脆弱性問題あったようだが、すぐに修正されてるし、確かに現状では一番良いかもな。

ライフサイクルを曖昧にシステム設計する日本の悪弊。
システムには寿命があるってのを理解できない。
役人や購買担当ならまだしも、設計者も解ってない。

俺が、このシステムは５年しか使えません。その後は保障もメンテもしません。
適切なマイグレーション計画を立てて下さい。予算計画立てておいて下さい。
とか客に説明すると営業から叱られる。余計な事言うなと。
余計な事じゃなくて一番大切な事なのに。
で、客はシステムは未来永劫使えるものだと思って導入。業務がそのシステムに依存するまでに。
で、壊れる。直せとか言う。とっくに部品ありません。で、客もこっちも社内が大騒ぎ。
言わんこっちゃない。毎回だよｗ
寿命の明記をなんらかの形で法制化して欲しいのだが。

>>99
WEBサーバと一言でいってもHTTP単純にやり取りする奴と連携してスクリプトエンジンやらフレームワークやらデータベースやらがあるし、WEBサーバ動かしてるOSあるんやで
それぞれがボロボロ何か問題出し続けとる状況や

技術は日進月歩なので、Struts1.xとかオープンソースの言語を使う自体に
限界があったのかもしれない。

基幹業務システムもoffceのように、MicrosoftのC#やAsp.net.NVCを
使っていたら良かったのではないかとも思えてしまう。

オープンソースなんだから自分たち出修正すればいいだけ
かんたんだろ

>>105
基幹系なら客が当然わかってることだけど
そのへんの一般システム担当の顧客じゃ無理だねｗ
要求仕様に何も書いてないんだろ？ｗ

>>105
そう言いたい気持ちは分かるが一般客から見たら魅力ゼロだな
PCや車や建物は6年以上使えるのになんでシステムだけ5年縛りなんだと言われたら反論できるか？

サイト構築ソフト・ストラッツｗｗｗｗ

確定申告のサイトをよくよく読んでみたらStruts1かよｗ
当分治りそうにないなｗ
来年まで確定申告は持ち越しだなｗ

>>107
だよな〜
struts1じゃ明らかにサポート終了してるわけでｗ
まさか客に提案してないんかね？ｗ

ま、俺の場合は遅くなっても税金増えないから
確定申告は来年に出すことになるんだと思うｗ

>>107
オープソースと開発言語になんの関係が…

>>114
それはoffceから目を逸らす為の工作ですね。
わかります。

うちのStruts1.3.X使ってるけど、こんなんStrutsのRequestUtilsちょっと修正するだけ
これでこの世の終わりのように騒いでる連中はなんなんだろう

で、Strutsの問題って大騒ぎしてるけどSpringでもbeanUtils使ってるアプリは問題起きる
うちじゃメール系システムで同じ問題発見して現在対応中

まぁ自前で保守できないならサポート期限切れたフレームワークは使っちゃいかん罠

>>116
その場凌ぎを続けてきた本隊にコミットすればいいのに。
ｽｰﾊﾟｰﾊｶｰには、利用だけじゃなくて還元もして欲しい

フレームワークのRequestUtils.javaでBeanUtilsのpopulateにバリデーション無しでパラメータ突っ込ん
じゃってるのが原因らしい　httpリクエストの属性に'classLoader'とか仕込むと
通常じゃ考えられないgetClassLoader()なんてゆー凶暴な召還獣を呼び出せちゃったりする

　リクエストの中に"class"があったら別の文字列にリプレイス
して渡してあげるかafwで%class%な属性を含むリクエストを
ねこそぎ弾く対策が推奨されてるようだがclass○○的な属性を持つBeanを作ってたら影響出るな

バックグラウンドでいろいろやってくれる便利なフレームワークだけどなにをしてくれて
いるのか知らないまま丸投げするとこーゆーことになる
いまごろFとかNとか大騒ぎなことだろう　ゴールデンウィークは対策バージョン
のリグレッションテスト頑張ってくれたまえ
にわとり諸君

>>116
システム屋はそれでいいけどな
騒いでるのは外注していま完成品を使ってる企業だろ

>>119
その事情を理解出来ないシステム屋も一種の情報弱者