セキュリティ企業がStrutsの未修正の脆弱性情報とそのパッチを公開、議論になる
2014年4月24日 18:45
あるAnonymous Coward 曰く、 2014年3月に対策が行われたApache Strutsの脆弱性CVE-2014-0094について、この対策が不十分であり、脆弱性がまだ存在していることをセキュリティ診断などを行う三井物産セキュアディレクションが発表した。同時に、暫定対応を行うコードも公開されている。
しかし、まだ修正されていない脆弱性の存在を発表したことに対し批判する声も出ている。また、Strutsのセキュリティ体勢はどうしようもないという話も出ている(WAF Tech Blog:例えば、Strutsを避ける)。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー:
脆弱性情報などを扱うメーリングリスト「Full Disclosure」、サービス停止へ 2014年03月24日
2月上旬に発覚したIE9/10に対するゼロデイ攻撃、日本で多発 2014年02月28日
豪公共交通システム、Webサイトの脆弱性を報告した少年を警察に通報 2014年01月12日