デシリアライズの脆弱性へのパッチ適用の難しさ
先週、Equifax社のデータ流出の背景には、Apache Struts RESTプラグインの脆弱性があることが報告されました。古いバージョンのプラグインは、XMLペイロードを処理するXStreamハンドラと一緒に使用されると、リモートコード実行攻撃を受ける可能性があります。原因は、信頼されていないデータのデシリアライゼーションであり、これはよく知られた脆弱性のタイプです。この脆弱性は、CVE-2017-9805として正式に認識されており、Apacheが9月5日にStrutsのバージョン2.5.13でパッチを適用しました。その後、Apache Strutsのドキュメントで発表され、明確に文書化されました。
Strutsの最新バージョンにアップグレードするだけで、この攻撃からアプリケーションを守ることができるのに、なぜ企業はすぐにアップグレードしないのでしょうか?デシリアライゼーションの脆弱性の問題点は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、Strutsの新しいパッチを適用すると、副作用が生じる可能性があります。この脆弱性に関する文書には、"It is possible that some REST actions stop working because of applied default restrictions on available classes. "と記載されています。新しいバージョンのStrutsでアプリケーションが動作し続けることを確認するには、時間がかかる可能性が高いです。
しかし、ハッカーたちは、公開された脆弱性を悪用し始めるのに、それほど時間を必要とせず、すでにいくつかの悪用法が公開されています。Metasploitのモジュールは9月8日に追加されましたが、これはApacheが脆弱性にパッチを当ててから3日後のことです。パッチを先延ばしにするのは、明らかに良くありません。
解決策としては、Apacheが提案する回避策を実装することで、より短期間での対応が可能になります。この回避策を実施する、あるいは自動的に適用するための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅に短縮することができます。
信頼されていないデータのデシリアライズを含むコードを識別して安全にする方法について、もっと知りたいと思いませんか?Secure Code Warrior ポータルにアクセスして、わかりやすい説明とトレーニングの課題をご覧ください。
この脆弱性は、Strutsがこの種のデータをどのように解析し、Javaプログラミング言語で解釈可能な情報に変換するかに関係しています。この脆弱性がうまく利用されると、悪意のあるコードがそのようなデータの中に隠され、Strutsがそのデータを変換しようとしたときに実行されてしまいます。
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
アプリケーション・セキュリティ・リサーチャー、R&Dエンジニア、博士号取得者
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
アプリケーション・セキュリティ・リサーチャー、R&Dエンジニア、博士号取得者
先週、Equifax社のデータ流出の背景には、Apache Struts RESTプラグインの脆弱性があることが報告されました。古いバージョンのプラグインは、XMLペイロードを処理するXStreamハンドラと一緒に使用されると、リモートコード実行攻撃を受ける可能性があります。原因は、信頼されていないデータのデシリアライゼーションであり、これはよく知られた脆弱性のタイプです。この脆弱性は、CVE-2017-9805として正式に認識されており、Apacheが9月5日にStrutsのバージョン2.5.13でパッチを適用しました。その後、Apache Strutsのドキュメントで発表され、明確に文書化されました。
Strutsの最新バージョンにアップグレードするだけで、この攻撃からアプリケーションを守ることができるのに、なぜ企業はすぐにアップグレードしないのでしょうか?デシリアライゼーションの脆弱性の問題点は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、Strutsの新しいパッチを適用すると、副作用が生じる可能性があります。この脆弱性に関する文書には、"It is possible that some REST actions stop working because of applied default restrictions on available classes. "と記載されています。新しいバージョンのStrutsでアプリケーションが動作し続けることを確認するには、時間がかかる可能性が高いです。
しかし、ハッカーたちは、公開された脆弱性を悪用し始めるのに、それほど時間を必要とせず、すでにいくつかの悪用法が公開されています。Metasploitのモジュールは9月8日に追加されましたが、これはApacheが脆弱性にパッチを当ててから3日後のことです。パッチを先延ばしにするのは、明らかに良くありません。
解決策としては、Apacheが提案する回避策を実装することで、より短期間での対応が可能になります。この回避策を実施する、あるいは自動的に適用するための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅に短縮することができます。
信頼されていないデータのデシリアライズを含むコードを識別して安全にする方法について、もっと知りたいと思いませんか?Secure Code Warrior ポータルにアクセスして、わかりやすい説明とトレーニングの課題をご覧ください。
この脆弱性は、Strutsがこの種のデータをどのように解析し、Javaプログラミング言語で解釈可能な情報に変換するかに関係しています。この脆弱性がうまく利用されると、悪意のあるコードがそのようなデータの中に隠され、Strutsがそのデータを変換しようとしたときに実行されてしまいます。
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
先週、Equifax社のデータ流出の背景には、Apache Struts RESTプラグインの脆弱性があることが報告されました。古いバージョンのプラグインは、XMLペイロードを処理するXStreamハンドラと一緒に使用されると、リモートコード実行攻撃を受ける可能性があります。原因は、信頼されていないデータのデシリアライゼーションであり、これはよく知られた脆弱性のタイプです。この脆弱性は、CVE-2017-9805として正式に認識されており、Apacheが9月5日にStrutsのバージョン2.5.13でパッチを適用しました。その後、Apache Strutsのドキュメントで発表され、明確に文書化されました。
Strutsの最新バージョンにアップグレードするだけで、この攻撃からアプリケーションを守ることができるのに、なぜ企業はすぐにアップグレードしないのでしょうか?デシリアライゼーションの脆弱性の問題点は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、Strutsの新しいパッチを適用すると、副作用が生じる可能性があります。この脆弱性に関する文書には、"It is possible that some REST actions stop working because of applied default restrictions on available classes. "と記載されています。新しいバージョンのStrutsでアプリケーションが動作し続けることを確認するには、時間がかかる可能性が高いです。
しかし、ハッカーたちは、公開された脆弱性を悪用し始めるのに、それほど時間を必要とせず、すでにいくつかの悪用法が公開されています。Metasploitのモジュールは9月8日に追加されましたが、これはApacheが脆弱性にパッチを当ててから3日後のことです。パッチを先延ばしにするのは、明らかに良くありません。
解決策としては、Apacheが提案する回避策を実装することで、より短期間での対応が可能になります。この回避策を実施する、あるいは自動的に適用するための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅に短縮することができます。
信頼されていないデータのデシリアライズを含むコードを識別して安全にする方法について、もっと知りたいと思いませんか?Secure Code Warrior ポータルにアクセスして、わかりやすい説明とトレーニングの課題をご覧ください。
この脆弱性は、Strutsがこの種のデータをどのように解析し、Javaプログラミング言語で解釈可能な情報に変換するかに関係しています。この脆弱性がうまく利用されると、悪意のあるコードがそのようなデータの中に隠され、Strutsがそのデータを変換しようとしたときに実行されてしまいます。
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
先週、Equifax社のデータ流出の背景には、Apache Struts RESTプラグインの脆弱性があることが報告されました。古いバージョンのプラグインは、XMLペイロードを処理するXStreamハンドラと一緒に使用されると、リモートコード実行攻撃を受ける可能性があります。原因は、信頼されていないデータのデシリアライゼーションであり、これはよく知られた脆弱性のタイプです。この脆弱性は、CVE-2017-9805として正式に認識されており、Apacheが9月5日にStrutsのバージョン2.5.13でパッチを適用しました。その後、Apache Strutsのドキュメントで発表され、明確に文書化されました。
Strutsの最新バージョンにアップグレードするだけで、この攻撃からアプリケーションを守ることができるのに、なぜ企業はすぐにアップグレードしないのでしょうか?デシリアライゼーションの脆弱性の問題点は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、Strutsの新しいパッチを適用すると、副作用が生じる可能性があります。この脆弱性に関する文書には、"It is possible that some REST actions stop working because of applied default restrictions on available classes. "と記載されています。新しいバージョンのStrutsでアプリケーションが動作し続けることを確認するには、時間がかかる可能性が高いです。
しかし、ハッカーたちは、公開された脆弱性を悪用し始めるのに、それほど時間を必要とせず、すでにいくつかの悪用法が公開されています。Metasploitのモジュールは9月8日に追加されましたが、これはApacheが脆弱性にパッチを当ててから3日後のことです。パッチを先延ばしにするのは、明らかに良くありません。
解決策としては、Apacheが提案する回避策を実装することで、より短期間での対応が可能になります。この回避策を実施する、あるいは自動的に適用するための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅に短縮することができます。
信頼されていないデータのデシリアライズを含むコードを識別して安全にする方法について、もっと知りたいと思いませんか?Secure Code Warrior ポータルにアクセスして、わかりやすい説明とトレーニングの課題をご覧ください。
この脆弱性は、Strutsがこの種のデータをどのように解析し、Javaプログラミング言語で解釈可能な情報に変換するかに関係しています。この脆弱性がうまく利用されると、悪意のあるコードがそのようなデータの中に隠され、Strutsがそのデータを変換しようとしたときに実行されてしまいます。
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
