「Apache Struts 2」に重大な脆弱性、直ちに更新を - ITmedia エンタープライズ

2018/08/23 17 users Apache Struts 脆弱性 オープンソ 更新 Java

Strutsを使う全てのアプリケーションに影響：「Apache Struts 2」に重大な脆弱性、直ちに更新を 「過去に同様の重大な脆弱性が発覚した際は、その日のうちに悪用コードが公開され、重要インフラや顧客情報が危険にさらされた」とセキュリティ企業は指摘している。 JavaでWebアプリケーションを開発するためのオープンソ... 続きを読む

Apache Strutsに重大な脆弱性、直ちに更新を - ITmedia エンタープライズ

2017/09/05 82 users Apache Struts 脆弱性 更新 攻撃 Webアプリ

2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。 Java WebアプリケーションフレームワークのApache Strutsに重大な脆弱（ぜいじゃく）性が発見され、Apache Software Foundationが9月5日、更新版となるバージョン2.5.13を公開して対処した。すぐに攻撃が発生する可能性も指... 続きを読む

Apache Strutsに重大な脆弱性、直ちに更新を - ITmedia NEWS

2017/09/05 82 users Apache Struts 脆弱性 更新 攻撃 Webアプリ

2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。 Java WebアプリケーションフレームワークのApache Strutsに重大な脆弱（ぜいじゃく）性が発見され、Apache Software Foundationが9月5日、更新版となるバージョン2.5.13を公開して対処した。すぐに攻撃が発生する可能性も指... 続きを読む

脆弱なStrutsをSpringに変換する自動移行ツールを使ったサービスの提供開始！ ～ソースコードベースの移植で工期削減、要件定義も不要～ - CNET Japan

2017/04/13 27 users 梶原 spring 移植 Spring MVC 要件定義

脆弱なStrutsをSpringに変換する自動移行ツールを使ったサービスの提供開始！ ～ソースコードベースの移植で工期削減、要件定義も不要～ 株式会社スタイルズ（本社：東京都千代田区、代表取締役社長：梶原 稔尚　以下、スタイルズ）は、 2017年4月13日（木）、脆弱なStrutsからSpring MVCへ変換を行う自動移行サービスを正式に提供開始いたしました。 スタイルズの2016年度実績では、... 続きを読む

Struts2が危険である理由 - WAF Tech Blog ｜ クラウド型 WAFサービス Scutum 【スキュータム】

2017/03/27 483 users Scutum セキュ スキュータム WAFサービス 筆者

はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月（およそ3年前）に「 例えば、Strutsを避ける 」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュ... 続きを読む

3つのフレームワークで学ぶエンタープライズJava開発入門（1）：Strutsを使い続けることの問題点＆現在有力なJava EE、Spring、Play Frameworkの基礎知識とアーキテクチャ - ＠IT

2015/07/01 196 users デファクトスタンダード アーキテクチャ フレームワーク 獲得

エンタープライズJava開発に従事している方であれば、一度はStruts 1を扱ったことがあるでしょう。Struts 1はJavaのWebアプリケーションフレームワークとして2001年ごろに誕生しました。 MVCモデルに基づいたアーキテクチャと高い生産性から、数年後にはデファクトスタンダードとなるほどの人気を獲得。当時、多くの企業がこぞってStruts 1を使った企業システムを構築しました。筆者自... 続きを読む

Play Frameworkについてざっくり説明する | anopara

2015/05/15 784 users anopara Seasar2 Play 黎明期 普段

普段、Play Framework、Struts、Seasar2、JSF2.0で仕事をしている私です。Playが流行り始めてからだいぶ経ちます。私もPlayに触れたのは最近の事で、黎明期から使っていたわけではありませんが、私と同じようにそろそろPlayもやってみようかなというearly majority（たぶん）の人が増えてくるころではないかと思っています。 私はPlayを触り始めて3~4か月たち... 続きを読む

西本逸郎のIT社会サバイバル術 - いまだ攻撃は継続中、脆弱性といかに付き合うべきか（下）：ITpro

2014/06/11 13 users 西本逸郎 ITpro Heartbleed システ 脆弱性

前回に引き続き、2014年4月以降、重要性の高い脆弱性が相次ぎ見つかった問題について述べる。今回は、システム管理者や開発者が意識すべき脆弱性との付き合い方に関して考えよう。 脆弱性問題はすべて解決していない 4月に発生した「HeartBleed」と「Struts」に関わる脆弱性について、多くの組織で対応に苦慮したものと推測している。一般にWebサイトでは、ゴールデンウィーク連休休みを利用してシステ... 続きを読む

Strutsの脆弱性、「ITパスポート試験」に影響　IPA、試験を急きょ中止 - ITmedia ニュース

2014/04/30 15 users IPA Webアプリケーションフレームワーク ｉパス 知識

「ITパスポート試験」に採用している「Apache Struts 1」に脆弱性が見つかり、29、30日に予定していた試験が中止に。 IPAは、国家試験「ITパスポート試験」（iパス）システムに採用しているWebアプリケーションフレームワーク「Apache Struts 1」に脆弱性が見つかったため、4月29、30日に予定していた試験を中止した。 ITパスポート試験は、情報技術に関する基礎的な知識を... 続きを読む

JavaBeansに対するリフレクションとClassLoader脆弱性 - ひがやすを blog

2014/04/25 83 users ピカ リフレクション フレームワーク プロパティ Java

今回の問題は、(SA)Strutsだけの問題ではなく、いろんなフレームワークでもちゃんと調べた方が良い話しなので、もう少し詳しく書いておきます。 Javaで、JavaBeansのプロパティにアクセスする場合、 PropertyDescriptor[] descriptors = Introspector.getBeanInfo(クラス).getPropertyDescriptors(); で取得で... 続きを読む

StrutsのClassLoader脆弱性はSAStrutsに影響しません - ひがやすを blog

2014/04/25 113 users ピカ Blog

Struts2に見つかった脆弱性と同様の脆弱性がStruts1系にも見つかりました。Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 HTTP(S)のリクエストでJavaのClassLoaderのメソッドが呼び出せてしまうという脆弱性です。 もう少し噛み砕いて言えば、リクエストのパラメータをJavaBeansにセットする時に、リフレクションを使い、パラ... 続きを読む

S2-020類似攻撃のStruts1での対策方法 - Qiita

2014/04/25 78 users Qiita security alert Apache 実装

恐ろしいことですが、実装が全然違うStruts2の脆弱性S2-020と同様の攻撃手法で、Struts1も脆弱性があることが分かりました。 http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html ここではあまり明らかになっていませんが、原因は https://github.com/apache/struts1/blob/STRUTS_... 続きを読む

セキュリティ企業がStrutsの未修正の脆弱性情報とそのパッチを公開、議論になる | スラッシュドット・ジャパン セキュリティ

2014/04/24 23 users バッチ スラッシュドット・ジャパン 議論 セキュリティ 未修正

あるAnonymous Coward 曰く、 2014年3月に対策が行われたApache Strutsの脆弱性CVE-2014-0094について、この対策が不十分であり、脆弱性がまだ存在していることをセキュリティ診断などを行う三井物産セキュアディレクションが発表した。同時に、暫定対応を行うコードも公開されている。 しかし、まだ修正されていない脆弱性の存在を発表したことに対し批判する声も出ている。ま... 続きを読む

例えば、Strutsを避ける - WAF Tech Blog ｜ SaaS型 WAFサービス　Scutum　【スキュータム】

2014/04/23 327 users Coc Scutum 食わず嫌い Javaプログラマ 筆者

はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したよ... 続きを読む

MVCにおけるcontrollerクラスの役割は時代と共に変わって行く | F's Garage＠fshin2000

2013/11/02 349 users MVC controller フレームワーク ロジック 例外

昔、JavaのフレームワークであるStrutsも出てくる前、MVCモデルにおけるControllerの役割というのは、 「ロジックもデータも見ない現場監督のような役割」 と学んだ。だから元々のControllerはこんな処理を行う。 [入力ブロック] | [validationロジックに引き渡す。データの中身は見ない] ｜ [例外が発生したらエラーView処理クラスに引き渡す] ｜ [次にロジック... 続きを読む

Scalaのversion間の非互換について具体的に考える - scalaとか・・・

2013/09/10 49 users Scala JSF 非互換 Java技術 html5biz

scala | 01:38 | わりと以前から書いてみたかったことなので、書いてみます。 たとえば最近ではここWeb✕Java - HTML5で進化したWeb標準を、Java技術でどう扱うのか？でStruts使ってる人へJSFの説明をしてきた #jjug #html5bizでとりあげられていたりします。*1昔からずっと言われてる話です。ですが、「互換性がない」とある程度多くの人が口をそろえて言う一... 続きを読む

Web✕Java - HTML5で進化したWeb標準を、Java技術でどう扱うのか？でStruts使ってる人へJSFの説明をしてきた #jjug #html5biz - 水まんじゅう

2013/09/10 40 users JSF ウェブアプリケーション Java スライド Web標準

Strutsから移行する人のためのjsf基礎使用したスライドは以下に html5jえんぷら部の方々から共催しませんか？という形で頂いた勉強会にて登壇してきました。 周りの方々がすごい有名所の中、私が発表してよかったのかしら？と思いつつ、皆様の役に立てれば幸いです。 最後のお願いに関してはJSFにかぎらず、少なくともJavaでリッチなウェブアプリケーションを作るときにぜひお願いしたいことです。 特に... 続きを読む

JAX-RSはHTML Webアプリケーションを開発するのに充分なフレームワークであるか？ - AOEの日記

2013/03/17 118 users AoE JAX-RS フレームワーク コンポーネントベース

JavaEE, JAX-RSJavaEEでのWebアプリケーション開発フレームワークと言えばJSFですが、JSFはデスクトップGUIの開発スタイルに似せた、コンポーネントベース、イベントドリブンなフレームワークであるため、拒否反応を示す人も多いようです。 で、フロントコントローラー型のフレームワーク (StrutsやRuby on Railsなど) が必要な人への選択肢をJavaEEは提供していな... 続きを読む

プログラマの実力は経験だけであがらないことがレベル格差につながる - きしだのはてな

2012/10/10 1965 users プログラマ はてな 実力 volatile 経験

プログラマというのは、道具に慣れることが、実力があがることにならないのですよね。だから、勉強せず業務経験だけだとレベルが低いままということになってしまう。 Javaを10年さわり続けて、Strutsを5年さわり続けても、それだけでは、与えられた画面を手際よく作成できるようになるだけで、たとえばStrutsすらよりよく使えるようになるわけではなかったりする。Javaにしても、「volatileってな... 続きを読む

プログラマの実力は経験だけであがらないことがレベル格差につながる - きしだのはてな

2012/10/10 1965 users プログラマ はてな 実力 volatile 経験

プログラマというのは、道具に慣れることが、実力があがることにならないのですよね。だから、勉強せず業務経験だけだとレベルが低いままということになってしまう。 Javaを10年さわり続けて、Strutsを5年さわり続けても、それだけでは、与えられた画面を手際よく作成できるようになるだけで、たとえばStrutsすらよりよく使えるようになるわけではなかったりする。Javaにしても、「volatileってな... 続きを読む

プログラマの実力は経験だけであがらないことがレベル格差につながる - きしだのはてな

2012/10/10 1965 users プログラマ はてな 実力 たとえばStruts 手際

プログラマというのは、道具に慣れることが、実力があがることにならないのですよね。だから、勉強せず業務経験だけだとレベルが低いままということになってしまう。 Javaを10年さわり続けて、Strutsを5年さわり続けても、それだけでは、与えられた画面を手際よく作成できるようになるだけで、たとえばStrutsすらよりよ... 続きを読む

AIRKinect

2012/02/24 10 users servlet JSP fxug twitter.com 徳山

AIRKinect — Presentation Transcript AIRKinect の紹介 FxUG 勉強会 第 164 回 in 東京 2012 年 02 月 22 日 ( 水 ) 徳山禎男 自己紹介 tokufxug ( http://twitter.com/tokufxug/ ) 徳山 禎男 業務システム WEB アプリ開発者 Java （ Servlet, JSP, Struts ... 続きを読む

Struts化するRailsって本当か - ひがやすを blog

2011/04/15 16 users Rails ピカ アークランプ デファクト Blog

Rails, Strugs良い悪いは置いておくとしてRubyOnRailsはStrutsになるのだなと感じています（エンタープライズ開発でデファクト・スタンダードになって一定のポジションを獲得する）Struts化するRails (arclamp.jp アークランプ)最近、「RailsはStruts化する」という風に思っている人が多そうなので、私の意見を書いておきます。そんなことはないでしょう。エン... 続きを読む

Javaで軽快に使える「軽量フレームワーク」特集　～本格的なRoRスタイルフレームワーク「Play!」（1）（1/7）：CodeZine

2010/01/20 363 users CodeZine Java RoR Play 特集

はじめに　今やWebのフレームワークと言えば、そのほとんどが「RoRタイプ」です。RoR（Ruby on Rails）がWebの開発に与えた影響は非常に大きく、その後生まれたフレームワークの多くがその影響を受けています。　しかし、Javaの世界に関しては、RoRはなぜか素通りしてしまいました。既にStrutsというデファクトスタンダードがあったために新しいMVCフレームワークが割り込む余地があまり... 続きを読む

1分でWebアプリを作れるEclipseプラグイン「Dolteng」 (1/3) - ＠IT

2008/10/23 280 users サーブレット アプリケーションサーバ JSP Java 新田

第1回　1分でWebアプリを作れるEclipseプラグイン「Dolteng」 株式会社パワーエッジ 新田 智啓（newta） 2008/10/23 Javaの業務用Webアプリ開発に必要なもの 読者の皆さんは、Javaで業務用のWebアプリケーションを開発するのに必要なものとして何を思い浮かべるでしょうか。統合開発環境？ サーブレット/JSP？ アプリケーションサーバ？ Struts？ DB接続の... 続きを読む