Permalink
Browse files

Merge branch 'master' of github.com:SecureSkyTechnology/study-struts2…

…-s2-054_055-jackson-cve-2017-7525_cve-2017-15095
  • Loading branch information...
msakamoto-sf committed Dec 6, 2017
2 parents e455e8b + 2d40fc0 commit c8d65da0a338b1d26e117707361243fc4dc06a85
Showing with 2 additions and 2 deletions.
  1. +2 −2 README.md
View
@@ -10,7 +10,7 @@
公開前からJackson(Javaで人気のあるJSONライブラリ)の脆弱性が関連している、という話がメーリングリストに流れており、社内システムやツールでJacksonを利用している筆者も具体的にどのような内容か気にしていました。
* https://lists.apache.org/thread.html/ed74083f2d7187e71ee5ed644c5e45ba58d0792b515d1d1cc28bfadf@%3Cdev.struts.apache.org%3E
実際に公開されるた内容としては、以下2点のセキュリティ問題が修正されていました。Jacksonのコンポーネントであるjackson-databindの脆弱性が影響しているのはS2-055のみです。
実際に公開された内容としては、以下2点のセキュリティ問題が修正されていました。Jacksonのコンポーネントであるjackson-databindの脆弱性が影響しているのはS2-055のみです。
* S2-055 : https://cwiki.apache.org/confluence/display/WW/S2-055
* こちらが jackson-databind のCVE-2017-7525に対応した修正になります。
* Struts側の依存関係でjackson-databindを 2.9.2 にUPしています。これなら、後述のCVE-2017-15095 にも対応しています。
@@ -622,7 +622,7 @@ S2-054, 055が公開される、それにはJacksonの脆弱性の影響があ
そこに別の同僚が Adam Caudill 氏のblogを見つけてCVE-2017-7525の存在を教えてくれたのですが、自ら利用しているJacksonをドヤ顔で奨めた数日後にJacksonの脆弱性でStruts2がアップデート公開、しかもJacksonの脆弱性自体は数ヶ月前から対応されていたとなれば、セキュリティ業界に身をおいているエンジニアとして、自らが使っているライブラリの脆弱性情報の収集を怠っていたと指摘されても言い逃れようがありません(実際そうだったとしか言えないのですが)。
そのためここ数日の筆者のメンタルコンディションは最悪の状態(血圧・脈拍の上昇、手が震える、悲しくないのに涙が出そうになる、動機が止まらない、など)で、なんとかするために、とにかくCVE-2017-7525が何なのか、Jacksonは一体どういう状況なのかをまず知ることから始めようと、土日を費やして本記事の調査・執筆に勤しんだ次第です。
そのためここ数日の筆者のメンタルコンディションは最悪の状態(血圧・脈拍の上昇、手が震える、悲しくないのに涙が出そうになる、動悸が止まらない、など)で、なんとかするために、とにかくCVE-2017-7525が何なのか、Jacksonは一体どういう状況なのかをまず知ることから始めようと、土日を費やして本記事の調査・執筆に勤しんだ次第です。
この点について振り返ってみますと、やはり開発に専念していると中々、依存ライブラリのアップデート情報に気を配るのは難しいものがあると痛感します。
次から次へとやってくる開発作業の中で、使用するライブラリ全ての機能や、脆弱性など品質面の完全な調査を行うことは現実的に不可能です。

0 comments on commit c8d65da

Please sign in to comment.