Struts1.xの脆弱性（CVE ）に対するSDEの対処：wrapタイプ（パッチのご提供）

Slides:

Advertisements

Similar presentations

Copyright © NTT COMWARE 2014 NTT COMWARE CONFIDENTIAL PROPRIETARY OSS-EAI ドキュメント生成ツール利用マニュアル NTT コムウェア品質生産性技術本部技術 SE 部 OSS ・ AP 技術担当.

Advertisements

ネットワークプログラミング論平成２７年 11 月 1 ６日森田彦. 【基礎課題 6-1 】の解答 ① サーブレットを記述して保管するとコンパイルが自動的に行われる。 ② サーブレットの記述後、開発者がコンパイル命令を実行しなければならない。 ③ プロジェクト名が Web アプリケーション.

Web アプリケーション開発～図書館管理システム～北海道情報大学情報メディア学部情報メディア学科新井山ゼミ高橋隼.

1 JSP の作成 JSF による Web アプリケーション開発第 4 回. 2 ここでの内容 JSF での JSP の作り方と動かし方について学ぶ。

1 安全性の高いセッション管理方式の Servlet への導入東京工業大学理学部千葉研究室所属９９－２２７０－６松沼正浩.

1 PHP プログラムの実行（まとめ）担当岡村耕二月曜日２限平成 22 年度情報科学 III （理系コア科目・２年生）本資料の一部は、堀良彰准教授、天野浩文准教授、菅沼明准教授等による以前の講義資料をもとにしています。

IIS 4.0で開発をするコツ Webアプリケーション構築.

ご使用の前に使用可能なPC環境 Windows XP SP2 以上

TeX で数式を書くための PowerPoint アドイン Ver (2011/06/26) Ver. 0.1　(2007/5/30)

JPAを利用した RESTful Webサービスの開発

2006年11月22日植田龍男 Webサービス II (第９回) 年11月22日植田龍男.

.NET テクノロジーを利用した SAP ソリューションの拡張（３階層化）（評価環境構築ガイド）

Struts1.xの脆弱性（CVE ）に対するSDEの対処：推奨タイプ（サンプルソースコードの公開）

エンタープライズアプリケーション II 第10回 / 2006年7月23日

Mavenによるプロジェクト管理近畿大学理工学部情報学科3年　小野実.

Servlet J2EE I 第8回 /

Servlet入門(2) 入力フォームをつかったWebアプリ

Iアプリプログラミングその１　鳥居秀徳.

ネットワークプログラミング論平成27年10月12日森田　彦.

5.電子成果品のチェック方法について.

Struts1.xの脆弱性（CVE ）の詳細と原因

JavaServlet＆JSP入門 01K0018 中村太一.

OSS-EAI ドキュメント生成ツール利用マニュアル

無線LANセキュリティの救世主 IEEE802.1ｘについて

BlueBeanClientを用いた連携の概要

ビューとコントローラ.

HTTPプロトコルとJSP (1) データベース論第3回.

平成22年度に実施を予定するインターネットを用いた研修システムによる研修ライブ配信受講手順書

Curlの仕組み.

タグライブラリとJSP J2EE II 第2回 2004年10月7日 (木).

＜塗料標準EDI導入までの流れ＞＜ご利用条件＞（Web-EDI方式）［お問い合わせ先］ ●塗料ディーラの場合 ●塗料メーカの場合

Webを使ったナレッジマネジメントとビジネス展開*

HTTPプロトコル J2EE I 第7回 /

Javaプログラムの実行までバイト Javaのコード実行ソースコード Java ファイル名ファイル名 abc.java

JSPの作成 J2EE II 第3回 2005年4月10日.

ネットワークプログラミング論平成28年10月17日森田　彦.

ServletによるWebアプリ作成入門

.NET テクノロジーを利用した SAP ソリューションの拡張（３階層化）（評価環境構築ガイド）

Javaによる Webアプリケーション入門第5回

第8章 Web技術とセキュリティ　　岡本　好未.

ネットワークプログラミング論平成２８年11月21日森田　彦.

情報工学科　3年生対象　専門科目システムプログラミング第５回、第６回ヒアドキュメントレポート課題情報工学科篠埜　功.

New accessory hardware Global Platform Division

オブジェクト指向プログラミング第二回知能情報学部新田直也.

セキュリティ（６） 05A2013 大川内　斉.

Webアプリケーションの方向性データベース論第13回.

対応可否スキル一覧株式会社エージェント 2015年10月7日　Ver.1.0.

Javaによる Webアプリケーション入門第6回

Microsoft BizTalk Server ＆ SAP PP モジュール連携検証レポート概要

Windows Vista ウィルスバスターインストール方法ユーザーアカウント制御の無効化ウィルスバスターのインストール

制作技術ー３双方向通信： CGIシステムと環境変数

Jakarta Struts (2) ソフトウェア特論第11回.

Javaによる Webアプリケーション入門第2回

ネットワークプログラミング（５回目） 05A1302 円田　優輝.

日本郵便「Web-EDI」利用ガイド (JP EDIシステム)

Javaによる Webアプリケーション入門第11回

コンピュータプレゼンテーション.

2020年1月 Windows Server 2008 サポート終了に向けサーバー移行支援パートナーを募集します

Servlet ソフトウェア特論第7回.

お客様各位 ONE WEB PICK UP システムアカウント（利用ID）登録マニュアル.

Servlet J2EE I (データベース論) 第12回 /

Servlet データベース論第6回.

Webアプリケーションと JSPの基本ソフトウェア特論第4回.

Javaによる Webアプリケーション入門第4回

WebアプリケーションとTomcat ― これまでの復習とこれからの予習 ―

JSPの基本データベース論第2回.

Jakarta Struts (1) ソフトウェア特論第10回.

ユビキタスコンピューティングのためのハンドオーバー機能付きRMIの実装

JSPの基本 J2EE I (データベース論) 第8回 /

2020年1月 Windows Server 2008 サポート終了に向けサーバー移行支援パートナーを募集します

Presentation transcript:

Struts1.xの脆弱性（CVE-2014-0114）に対するSDEの対処：wrapタイプ（パッチのご提供）日本電気株式会社 2014年6月17日

SDEが独自にStrutsを拡張している「BeanUtilsを操作しているクラス」にチェック処理を追加し、問題のあるパラメータを排除します。対処内容の概要 SDEが独自にStrutsを拡張している「BeanUtilsを操作しているクラス」にチェック処理を追加し、問題のあるパラメータを排除します。　※監視のために排除時にエラーログを出力します。ブラウザ StrutsV1.x リクエストリクエスト abc=123 class.ClassLoader.xxx=yyy abc=123 class.ClassLoader.xxx=yyy BeanUtils呼び出し処理通常のリクエスト「abc=123」以外に「class.ClassLoader.xxx=yyy」を付加して送信パラメータ排除 setAbc(“123”) getClass().getClassLoader().setXxx(“yyy”) populate() BeanUtilsBean.populate setAbc(“123”) エラーログを出力 Formクラスリクエストパラメータ名に「class」あるいは「Class」が含まれていた場合はBeanUtils処理対象外とする Public void setAbc(String abc){ this.abc = abc; }

適用要件および注意事項本対処を適用した場合、リクエストパラメータの属性名（一部を含む）に対して下記の正規表現に該当する文字列は使用できなくなります。該当する場合は属性名の見直しをお願いします。チェック対象となる文字列例を下記に記載いたします。チェック対象外の文字列 classic FirstClass チェック対象の文字列 .Class. Grepツールの仕様チェック用正規表現 \W(英数字および”_”以外)をサポート (^|\W)[cC]lass\W \Wを未サポート (.*\.|^|.*|\[('|"))(c|C)lass(\.|('|")]|\[).*

適用手順：開発環境への適用 ① 下記の情報を添えてSDE問い合わせ窓口（info@sdent.jp.nec.com）へパッチ提供を要求する　　　・お客様名　　　・プロジェクト名　　　・ご利用のSDEのバージョン（リビジョンまで Ver x.x.x）　　　・適用済みのSDE製品パッチのパッチID 　　　・標準のSDEに対するテーラリング状況（RPQの適用など）提供されたパッチインストーラを起動し、インストールする

適用手順：実行環境への適用本手順は、すでに実行環境にて動作しているアプリケーションに対して本パッチを直接適用する場合になります。パッチについては、P4の①の手順と同様にSDE問い合わせ窓口より入手ください。 WARファイル中にあるSDE提供Jarファイルを置換し、WARファイルを再度APサーバーにデプロイしてください。 APサーバ WARファイル ├ xxx.jsp └ WEB-INF ├　web.xml ├　*.xml ├　class │　　└　*.class ├　lib 　　│　　├　orteus-struts.jar │　　└　*.jar └　tags └　*.tld WARファイルをデプロイ WARファイル中のJarファイルを置換

テスト実施手順 GETメソッドの場合正常動作する画面のURLに「?class.ClassLoader.xxx=yyy」を付加して実行例：正常に動作するURL「http://localhost/Sample/TestAction.do」の場合「http://localhost/Sample/TestAction.do?class.ClassLoader.xxx=yyy」をブラウザで表示上記URLを実行した場合に正常に画面が表示され、ログファイルに以下の文字列が出力されるかを確認「Invalid request parameter detected, key:class.ClassLoader.xxx, value:yyy .」 POSTメソッドの場合正常動作する画面に以下のhidden項目を追加 <input type=“hidden” name=“class.ClassLoader.xxx” value=“yyy”> 上記画面を実行した場合に正常に画面が表示され、ログファイルに以下の文字列が出力されるかを確認「Invalid request parameter detected, key:class.ClassLoader.xxx, value:yyy .」

“Empowered by Innovation”は、「イノベーションを、あなたのチカラに。そして、あなたと共に歩むNECグループの原動力に。」という意味を込めたNECグループのブランドステートメントです。私たちが活動するあらゆる分野におけるイノベーションを通じて、お客さまと共に理想を実現するNECグループのあくなき情熱を、ここに表しています。