Struts2 の脆弱性パッチによりエラーが発生 Baidu Accelerator が独占的な防御ソリューションを提供

4月23日、セキュリティ研究者らは、Apache Struts2の脆弱性情報S2-020において、CVE-2014-0094を修正するためのパッチソリューションに脆弱性があり、パッチが完全にバイパスされることを指摘した。公式は現在、GitHub 上でこの問題の修正を行っています。しかし、修正が発表された後、セキュリティ担当者はすぐに公式パッチにまだ脆弱性があり、回避できることを発見しました。その後、SCANVウェブサイトセキュリティセンターは、この公式のミスに対処するための一時的な修復計画を添付しました。 Baidu Accelerator も防御ルールのアップグレードを主導しており、現在、この脆弱性に対しては Baidu Accelerator のみが防御可能です。

ウェブマスターが Baidu Accelerator を使用していない場合は、SCANV Website Security Center が提供する一時的な修復ソリューションに従って、自分で修復することもできます。

strutsソースコード内のstruts-default.xmlを変更する

^dojo\..* をすべて置き換えます

(.*\. ^)class\..*,.*'class'.*,(.*\. ^)class\[.*,^dojo\..* に変更します。

Struts2 で重大なセキュリティ インシデントが発生したのは今回が初めてではないようです。昨年 9 月には Struts2 の脆弱性が露呈し、大臣レベルのサイトを含む国内の重要な政府 Web サイトの多くに影響が出ました。脆弱性が再び明らかになったことは、インターネット セキュリティ問題の深刻さを示しています。

原題: Struts2 の脆弱性パッチは間違い、Baidu Accelerator が独占的な防御ソリューションを提供

キーワード: Struts2、Baidu Accelerator