SpringのRCE脆弱性(CVE-2022-22965)について

テクノロジーカテゴリーの変更を依頼記事元:

www.scutum.jp

32 usersがブックマークコメント

コメント

4

記事へのコメント4件

注目コメント
新着コメント

manhole “個人的にはStruts2と同じく、外部からgetterやsetterをかなり自由に呼べてしまうという根本的な設計思想そのものが非常に危険だと考えており、自分や自社の開発でSpringを利用することはありえないと考えています”

security

2022/04/29 リンク

remonoil "個人的にはStruts2と同じく、外部からgetterやsetterをかなり自由に呼べてしまうという根本的な設計思想そのものが非常に危険だと考えており" 同意

2022/04/12 リンク

havanap kanatokoさんのpost mortem

2022/04/12 リンク

iekusup ほー。

2022/04/12 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

{{ total_bookmarks_with_user_postfix }}{{ root_title }}

SpringのRCE脆弱性(CVE-2022-22965)について

はじめに Log4jやStruts2など、Java製ソフトウェアにおいてリモートからの任意のコード実行(RCE)の脆弱... はじめに Log4jやStruts2など、Java製ソフトウェアにおいてリモートからの任意のコード実行(RCE)の脆弱性が目立つ時代になってしまっていますが、これにさらにSpringも加わってきました。この記事では特にCVE-2022-22965に焦点を当て、技術的な視点からの解説を行ってみます。なぜJavaアプリでRCEとなるのか? Javaの(特にウェブアプリケーションで)RCEとなるパターンはいくつか知られており、以前こちらの記事にまとめました。今回のCVE-2022-22965はこの記事の「3. クラスローダを操作できてしまうパターン」のパターンになります。なぜクラスローダを操作できるのか? そもそも「クラスローダの操作」とは何を意味しているのでしょうか。この文脈では、Javaのプロセス内のクラスローダ系のクラスのインスタンスの、getterやsetterのメソッドを攻撃者が実

ブックマークしたユーザー

manhole2022/04/29
sudo_vi2022/04/16
somathor2022/04/12
kuyo2022/04/12
nnakayama2022/04/12
remonoil2022/04/12
havanap2022/04/12
ya--mada2022/04/12
kazema_tsu2022/04/12
advblog2022/04/12
kaputte2022/04/12
pomgr2022/04/12
Hiro_Matsuno2022/04/12
iekusup2022/04/12
lasherplus2022/04/12
bopperjp2022/04/12
Itisango2022/04/12
whitz2022/04/12

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx