« トレイルランは不参加 | トップページ | 弁当作りこの1年 »

2017.03.30

Apache Struts2脆弱性

3月初旬に「Apache Struts 2」に脆弱性 のニュースが流れたので自分の理解できる範囲で資料をまとめました。サイト管理者はある程度知るべき知識です。

20170330zeijaku

◎Apache(アパッチ)は広く普及してるwebサーバ。
◎webサーバとは...webページの配給所とでも言いましょう。
◎Apache Struts(アパッチ・ストラッツ)は Apacheのオマケ的なもので、Java Webアプリケーションフレームワーク。 wikipedia - Apache Struts日本語解説あり。
◎今回2017年、脆弱性が見つかったのは「Apache Struts 2」の 脆弱性「CVE-2017-5638」(S2-045)   「Apache Struts 2」脆弱性を狙う攻撃 - 情報収集からボット感染狙いまで 本文中、「細工したHTTPリクエストを受けると、サーバ上で任意のコードが実行されるおそれがあると説明。」とのこと。かなり深刻なもの。
◎(情報処理推進機構の解説)更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)   「 Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。」
◎ WAFとは。キヤノン説明 WAFとは?本文中「WAF(ワフ)はWeb Application Firewallの略で、Webアプリケーションのぜい弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策です。」とあり、WAFとファイヤウォールの役割の違いも説明。WAFの製品の一つがSiteGuard。
◎SiteGuardとは。 株式会社ジェイピー・セキュアの製品。WAFの一種。
◎管理者が取るべき対処。 JP-Secure アラート・セキュリティ情報 Apache Struts2の脆弱性(S2-045)を狙った攻撃 と、「SiteGuard」シリーズの対応 の方法を解説。
「SiteGuard LiteというWAFはとてもいいぞ」2017年3月26日記事。個人ブログ「Webセキュリティの小部屋」。さくら VPS で使えるSiteGuard Lite、本来は25万円、さくらVPSなら無料で使えるという点を指摘。
さくらインターネット (WAF)の設定の注意書きには、「CGI、PHPプログラムの動作に影響が出る恐れがあります。」とあるので、WordPressで運営しているサイトや、PHP利用の予約システムなどは、WAF有効にした後に動作確認が必要と思います。

(追記。WAF の3週間後の結果は2017.4.19記事「サイバー攻撃を経験」で書きました。)

|

« トレイルランは不参加 | トップページ | 弁当作りこの1年 »

コメント

人気新作ブランドコピー財布、腕時計、雑貨、小物商店

日本的な人気と信頼を得ています。
激安、安心、安全にお届けします.品数豊富な商品情報HPはこちら!!どしどしご来店ください!!!
商品数も大幅に増え、品質も大自信です(*^v^*)
日本では手に入らない商品も、全て卸売りします。
価格、品質、自信のある商品を取り揃えておりますので、
当店の主要な経営のブランド:ヴィトン ディオール
シャネル グッチ コーチ ロレックスなど.
当店は主に経営する商品:かばん.バッグ .財布 .キーケース. 手帳.腕時計など.
当店の商品は特恵を与える。興味あれば、是非ご覧下さい
あなたが私の店まで(へ)商品を買うことを期待して、あるいは尋ねます.(*^v^*)
ブランドコピー https://www.cocoejp1.com/ProductList1.aspx?TypeId=741724312753501

投稿: ブランドコピー | 2020.03.10 04:00

コメントを書く



(ウェブ上には掲載しません)




« トレイルランは不参加 | トップページ | 弁当作りこの1年 »