GMO社が被害を受けたStruts 2(CVE-2017-5638)問題で我々は何を学ぶべきか? - Qiita

GMOペイメントゲートウェイ社(以下GMOPG)という、クレジット決済代行を取り扱う、 国内最大手の会社がクレジットカード番号を流出させたとして、 3/10以降大きく報道されました。 この事故から、我々エンジニアが学ぶべき事は何でしょうか? 発生した事象について CVE-2017-5638とはなにか ファイルアップロードにおけるマルチーパートヘッダーの解釈部分に脆弱性があり、 リモートコード実行(...

記事へジャンプ

みんなの反応

はてなブックマークでの反応
1andoshin11@hatena 2017/03/15 10:44:05
セキュリティーコードまで保存してたことは外部攻撃と関係ないし、流石に擁護できないでしょ
2hamadanookazu@hatena 2017/03/15 11:53:51
“祈ってやみません”?願ってやみませんやろwww
3ockeghem@hatena 2017/03/20 17:46:26
概ね同意だけど、『このゼロデイ攻撃』<S2-045はゼロデイではない(よね)
4mkusunok@hatena 2017/03/20 17:51:11
とはいえStrutsベースのWebアプリなんざ国にも山ほど入ってて、問題があると分かってても今の入札制度じゃ拒否できないんだよね。自分の担当するシステムがこんな目に遭ったらと考えると寒気がする
5taguch1@hatena 2017/03/20 20:40:42
危険だからリプレスしないといけないことがわかってても金にならないので提案は通らない。担当のエンジニアからしたら爆発寸前の時限爆弾を引き継いだ感じかな。
6ya--mada@hatena 2017/03/20 22:29:45
編集履歴読んだら泣きたくなりそう
7sibukixxx@hatena 2017/03/21 00:41:09
GMOは信用できない。それだけ
8yogasa@hatena 2017/03/21 01:52:11
GMOは被害を受けたのではなく,Strutsを採用して被害を与えたのでは
9houyhnhm@hatena 2017/03/21 07:29:45
少なくともこのエントリから学べる事はない。
10jaguarsan@hatena 2017/03/21 09:33:32
Struts2がなまじサポート中ってのが、移行稟議が通りづらいんだよな。いっそEOL宣言してくれりゃええのに
11zoidstown@hatena 2017/03/21 09:53:26
>つまり、とても商用で使えないフレームワークであるとも言えます。※ScutumというWAFの会社は2014年時点でStrutsを「控えめに言ってもどうしようもない」と形容しています。
12yum1271@hatena 2017/03/21 09:57:18
楽天、GMO、佐川は何をしてもしなくても叩かれる。Amazonとヤマトは褒められる
13wow64@hatena 2017/03/21 10:28:34
GMO社のクライアントが使うような、サイトにカード情報保持しない「決済代行」システムにすればよかったのに、何で自社案件はサイトにデータ保存しちゃったんだろ。『メインビジネスの部分が突破されたわけではない』
14lyiase@hatena 2017/03/21 12:14:52
概ね同意なんですが、件のCVE-2017-5638(S2-045)は発表が3/9、2.3.32が出たのは3/7、攻撃は3/10なのでゼロデイどころか、普通に公開された時点で封じられてたんですが…。
15gowithyou@hatena 2017/03/21 13:23:46
StrutsとStruts2の区別ぐらいつけろって、Struts2はWebWork2をベースにしたもので両者は全く別物の実装。ってかその程度も知らないでこの記事書いたのかね?
16feb223@hatena 2017/03/27 18:57:20
"セキュリティコードまで保存してたら擁護できない" って書いてる人いるけど保存してたって確定したわけじゃないよね。任意コード実行できるんだからフォームpostされた値をかすめ取ることだってできたはず。
コメント内容の著作権は、投稿者に帰属します。
削除依頼、不適切コメントのご連絡はこちらにお願いいたします。
2017-03-20 13:57:01:1489985821:1502890627
comments powered by Disqus
※メールアドレスは公開されません。
人気の反応