Apache Struts 2の更新版リリース

Apache Struts 2の脆弱性に対応するためのマイナー更新版がリリースされたとの記事を紹介します:

鈴木 聖子さんによるこの記事によれば、脆弱性の原因になってしまいやすいDMI(Dynamic Method Invocation)をデフォルトで無効にする仕様変更を含む、セキュリティ対応リリースとのことです。

デフォルト設定ではDMIが無効になる仕様変更を伴うため、デフォルト設定のまま適用が可能かどうかアプリケーションごとに判断する必要があります。記事にもありますが、DMIに依存しないようなアプリケーションのリファクタリングを検討した方がよさそうです(DMIはStruts 3で廃止予定だそうです)。

なお、

Struts 2のActionマッピング機能に関連して、特定の状況下でセキュリティ制限をかわされる恐れのある脆弱性も修正された。

という修正を含むため、DMIを有効にせざるを得ない場合でも、本リリースの適用をすべきでしょう。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です