SCW图标
感谢您下载!
其他资源
英雄背景无分隔线
博客

デシリアライゼーションの脆弱性にパッチを適用することの難しさ

ピーター・ド・クレマー
发表于 2017 年 9 月 11 日
最后更新于 2026年3月10日
许可证和许可证制度。
安全编码方法
开发者培训
播放视频按钮。
播放视频按钮。

先週、Equifaxのデータ侵害の背後にある可能性のある原因が、Apache Struts RESTプラグインの脆弱性であることが報告されました。このプラグインの古いバージョンは、XStream ハンドラーと一緒に使用して XML ペイロードを処理すると、リモートコード実行攻撃を受けやすくなります。原因は以下のとおりです。 信頼できないデータの逆シリアル化これはよく知られている脆弱性タイプです。この脆弱性は、正式には以下のように認識されています。 CVE-2017-9805、Strutsバージョン2.5.13で9月5日にApacheによってパッチが適用されました。その時はそうだった 発表された そして 明確に文書化されている Apache Struts のドキュメントにあります。

最新の Struts バージョンにアップグレードするだけでこの攻撃からアプリケーションを保護できるのに、なぜ企業はすぐにアップグレードしないのでしょうか。逆シリアル化の脆弱性の問題は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、新しい Struts パッチを適用すると、次のような副作用が生じる可能性があります。 ドキュメンテーション 脆弱性には、「使用可能なクラスにデフォルトの制限が適用されているため、一部のRESTアクションが機能しなくなる可能性があります」と記載されています。アプリケーションが新しいバージョンの Struts で動作し続けることを確認するには、かなりの時間がかかる可能性があります。

ただし、ハッカーが公開されている脆弱性を悪用し始めるのにそれほど時間はかからず、すでにいくつかの悪用が見られます。 公開された。メタスプリット モジュール が9月8日に追加されました。これは、Apacheが脆弱性にパッチを適用してから3日後のことです。パッチを延期するのは明らかに良い考えではありません。

解決策は、Apacheが提案した回避策を実装することです。これはより短い時間枠で実行できます。この回避策を実施したり、自動的に適用したりするための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅にスピードアップできます。

信頼できないデータの逆シリアル化を含むコードを識別して保護する方法について詳しく知りたいですか?詳細については、セキュア・コード・ウォリアー・ポータルをご覧ください。 説明とトレーニングチャレンジ

この脆弱性は、Strutsがそのようなデータを解析して、Javaプログラミング言語で解釈できる情報に変換する方法に関係しています。この脆弱性の悪用に成功すると、そのようなデータの中に悪意のあるコードが隠され、Struts が変換を試みたときに実行される可能性があります。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

显示资源
显示资源

この脆弱性は、Strutsがそのようなデータを解析して、Javaプログラミング言語で解釈できる情報に変換する方法に関係しています。

您还有兴趣吗?

アプリケーションセキュリティ研究者-研究開発エンジニア-博士候補者

了解更多

Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。

预约演示
分享:
领英品牌社交x 标志
著者
ピーター・ド・クレマー
发表于2017年9月11日

アプリケーションセキュリティ研究者-研究開発エンジニア-博士候補者

分享:
领英品牌社交x 标志
播放视频按钮。
播放视频按钮。

先週、Equifaxのデータ侵害の背後にある可能性のある原因が、Apache Struts RESTプラグインの脆弱性であることが報告されました。このプラグインの古いバージョンは、XStream ハンドラーと一緒に使用して XML ペイロードを処理すると、リモートコード実行攻撃を受けやすくなります。原因は以下のとおりです。 信頼できないデータの逆シリアル化これはよく知られている脆弱性タイプです。この脆弱性は、正式には以下のように認識されています。 CVE-2017-9805、Strutsバージョン2.5.13で9月5日にApacheによってパッチが適用されました。その時はそうだった 発表された そして 明確に文書化されている Apache Struts のドキュメントにあります。

最新の Struts バージョンにアップグレードするだけでこの攻撃からアプリケーションを保護できるのに、なぜ企業はすぐにアップグレードしないのでしょうか。逆シリアル化の脆弱性の問題は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、新しい Struts パッチを適用すると、次のような副作用が生じる可能性があります。 ドキュメンテーション 脆弱性には、「使用可能なクラスにデフォルトの制限が適用されているため、一部のRESTアクションが機能しなくなる可能性があります」と記載されています。アプリケーションが新しいバージョンの Struts で動作し続けることを確認するには、かなりの時間がかかる可能性があります。

ただし、ハッカーが公開されている脆弱性を悪用し始めるのにそれほど時間はかからず、すでにいくつかの悪用が見られます。 公開された。メタスプリット モジュール が9月8日に追加されました。これは、Apacheが脆弱性にパッチを適用してから3日後のことです。パッチを延期するのは明らかに良い考えではありません。

解決策は、Apacheが提案した回避策を実装することです。これはより短い時間枠で実行できます。この回避策を実施したり、自動的に適用したりするための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅にスピードアップできます。

信頼できないデータの逆シリアル化を含むコードを識別して保護する方法について詳しく知りたいですか?詳細については、セキュア・コード・ウォリアー・ポータルをご覧ください。 説明とトレーニングチャレンジ

この脆弱性は、Strutsがそのようなデータを解析して、Javaプログラミング言語で解釈できる情報に変換する方法に関係しています。この脆弱性の悪用に成功すると、そのようなデータの中に悪意のあるコードが隠され、Struts が変換を試みたときに実行される可能性があります。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

显示资源
显示资源

要下载报告,请填写以下表格。

恳请允许我们向您发送有关本公司产品及/或相关安全编码主题的信息。我们始终以高度谨慎的态度处理您的个人信息,绝不会出于营销目的将其出售给其他公司。

送信
scw 成功图标
SCW 错误图标
要提交表单,请启用“Analytics”Cookie。设置完成后,您可以再次将其禁用。
播放视频按钮。
播放视频按钮。

先週、Equifaxのデータ侵害の背後にある可能性のある原因が、Apache Struts RESTプラグインの脆弱性であることが報告されました。このプラグインの古いバージョンは、XStream ハンドラーと一緒に使用して XML ペイロードを処理すると、リモートコード実行攻撃を受けやすくなります。原因は以下のとおりです。 信頼できないデータの逆シリアル化これはよく知られている脆弱性タイプです。この脆弱性は、正式には以下のように認識されています。 CVE-2017-9805、Strutsバージョン2.5.13で9月5日にApacheによってパッチが適用されました。その時はそうだった 発表された そして 明確に文書化されている Apache Struts のドキュメントにあります。

最新の Struts バージョンにアップグレードするだけでこの攻撃からアプリケーションを保護できるのに、なぜ企業はすぐにアップグレードしないのでしょうか。逆シリアル化の脆弱性の問題は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、新しい Struts パッチを適用すると、次のような副作用が生じる可能性があります。 ドキュメンテーション 脆弱性には、「使用可能なクラスにデフォルトの制限が適用されているため、一部のRESTアクションが機能しなくなる可能性があります」と記載されています。アプリケーションが新しいバージョンの Struts で動作し続けることを確認するには、かなりの時間がかかる可能性があります。

ただし、ハッカーが公開されている脆弱性を悪用し始めるのにそれほど時間はかからず、すでにいくつかの悪用が見られます。 公開された。メタスプリット モジュール が9月8日に追加されました。これは、Apacheが脆弱性にパッチを適用してから3日後のことです。パッチを延期するのは明らかに良い考えではありません。

解決策は、Apacheが提案した回避策を実装することです。これはより短い時間枠で実行できます。この回避策を実施したり、自動的に適用したりするための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅にスピードアップできます。

信頼できないデータの逆シリアル化を含むコードを識別して保護する方法について詳しく知りたいですか?詳細については、セキュア・コード・ウォリアー・ポータルをご覧ください。 説明とトレーニングチャレンジ

この脆弱性は、Strutsがそのようなデータを解析して、Javaプログラミング言語で解釈できる情報に変換する方法に関係しています。この脆弱性の悪用に成功すると、そのようなデータの中に悪意のあるコードが隠され、Struts が変換を試みたときに実行される可能性があります。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

观看在线研讨会
开始吧
了解更多

请点击以下链接下载此资源的PDF文件。

Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。

显示报告预约演示
下载PDF文件
显示资源
分享:
领英品牌社交x 标志
您还有兴趣吗?

分享:
领英品牌社交x 标志
著者
ピーター・ド・クレマー
发表于2017年9月11日

アプリケーションセキュリティ研究者-研究開発エンジニア-博士候補者

分享:
领英品牌社交x 标志

先週、Equifaxのデータ侵害の背後にある可能性のある原因が、Apache Struts RESTプラグインの脆弱性であることが報告されました。このプラグインの古いバージョンは、XStream ハンドラーと一緒に使用して XML ペイロードを処理すると、リモートコード実行攻撃を受けやすくなります。原因は以下のとおりです。 信頼できないデータの逆シリアル化これはよく知られている脆弱性タイプです。この脆弱性は、正式には以下のように認識されています。 CVE-2017-9805、Strutsバージョン2.5.13で9月5日にApacheによってパッチが適用されました。その時はそうだった 発表された そして 明確に文書化されている Apache Struts のドキュメントにあります。

最新の Struts バージョンにアップグレードするだけでこの攻撃からアプリケーションを保護できるのに、なぜ企業はすぐにアップグレードしないのでしょうか。逆シリアル化の脆弱性の問題は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、新しい Struts パッチを適用すると、次のような副作用が生じる可能性があります。 ドキュメンテーション 脆弱性には、「使用可能なクラスにデフォルトの制限が適用されているため、一部のRESTアクションが機能しなくなる可能性があります」と記載されています。アプリケーションが新しいバージョンの Struts で動作し続けることを確認するには、かなりの時間がかかる可能性があります。

ただし、ハッカーが公開されている脆弱性を悪用し始めるのにそれほど時間はかからず、すでにいくつかの悪用が見られます。 公開された。メタスプリット モジュール が9月8日に追加されました。これは、Apacheが脆弱性にパッチを適用してから3日後のことです。パッチを延期するのは明らかに良い考えではありません。

解決策は、Apacheが提案した回避策を実装することです。これはより短い時間枠で実行できます。この回避策を実施したり、自動的に適用したりするための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅にスピードアップできます。

信頼できないデータの逆シリアル化を含むコードを識別して保護する方法について詳しく知りたいですか?詳細については、セキュア・コード・ウォリアー・ポータルをご覧ください。 説明とトレーニングチャレンジ

この脆弱性は、Strutsがそのようなデータを解析して、Javaプログラミング言語で解釈できる情報に変換する方法に関係しています。この脆弱性の悪用に成功すると、そのようなデータの中に悪意のあるコードが隠され、Struts が変換を試みたときに実行される可能性があります。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

目录

下载PDF文件
显示资源
您还有兴趣吗?

アプリケーションセキュリティ研究者-研究開発エンジニア-博士候補者

了解更多

Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。

预约演示[下载]
分享:
领英品牌社交x 标志
资源中心

开始所需的资源

其他投稿

Trust Agent:AI - Secure and scale AI-Drive development

AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.

了解更多
Apr 1, 2026
A minimalist illustration showing a stack of three white papers. The top document has a folded top-right corner and horizontal blue lines representing text, over a smooth blue-to-pink gradient background.
单页传呼机
单页传呼机

OpenText 应用程序安全性的强大功能 + Secure Code Warrior

OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.

2026年3月23日
单页传呼机

Secure Code Warrior corporate overview

Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.

Mar 19, 2026
手册

安全编码培训的主题与内容

我们引领行业的内容始终以客户角色为核心,持续适应不断变化的软件开发环境。从人工智能到XQuery注入,涵盖所有主题,为架构师、工程师、产品经理和质量保证人员等不同角色量身定制。让我们通过主题和角色分类,快速浏览内容目录所提供的资源。

2026年3月11日
资源中心

开始所需的资源

其他投稿

Enabler 2: Senior Leadership Sponsorship

Explore Enabler 2: Senior Leadership Sponsorship. Learn why active buy-in from the CIO, CTO, and CISO is vital to drive developer adoption and program credibility.

了解更多
Mar 19, 2026
A blue promotional graphic for Secure Code Warrior’s "Enablers of Success Series." The text "Senior Leadership Sponsorship" is prominently featured in white. An illustration on the right shows a line of figures climbing an upward-sloping ramp, with the lead figure holding a flag. The Secure Code Warrior logo is in the top right corner.
博客
博客

赛博蒙回归:击败BOSS的AI任务现已支持按需使用

「CyberMon 2025:击败头目」现已在SCW平台全年开放体验。通过引入高级AI/LLM安全挑战,让我们共同推动安全AI开发的大规模强化。

2026年3月5日
博客

《网络弹性法案》解读:对安全设计软件开发的重要性

了解欧盟《网络弹性法》(CRA) 的具体要求、适用对象,以及工程团队如何为安全设计实践、漏洞防范和开发人员能力建设做好准备。

2026年2月24日
博客

使能器1:预先定义且可衡量的成功标准

《成功助推器1》作为十部曲《成功助推器》系列的首部作品,将阐述如何将安全编码与风险降低、速度提升等商业成果相联结,从而推动项目实现长期成熟发展。

2026年2月19日