セキュリティ企業がStrutsの未修正の脆弱性情報とそのパッチを公開、議論になる

2014年4月24日 18:45

あるAnonymous Coward 曰く、　2014年3月に対策が行われたApache Strutsの脆弱性CVE-2014-0094について、この対策が不十分であり、脆弱性がまだ存在していることをセキュリティ診断などを行う三井物産セキュアディレクションが発表した。同時に、暫定対応を行うコードも公開されている。

　しかし、まだ修正されていない脆弱性の存在を発表したことに対し批判する声も出ている。また、Strutsのセキュリティ体勢はどうしようもないという話も出ている（WAF Tech Blog：例えば、Strutsを避ける）。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
脆弱性情報などを扱うメーリングリスト「Full Disclosure」、サービス停止へ 2014年03月24日
2月上旬に発覚したIE9/10に対するゼロデイ攻撃、日本で多発 2014年02月28日
豪公共交通システム、Webサイトの脆弱性を報告した少年を警察に通報 2014年01月12日

　

最新記事

• Anthropic、「Mythos」同等の最高性能モデル「Fable 5」を一般提供開始―22日まではサブスクリプション内で無料提供
• DeepSeek、初の外部調達で最大590億ドル評価額を検討中と報道——安価なAIが「資金力」を得ても残る3つの課題
• AnthropicがClaude Codeスキルの社内活用法を公開——実証済み9分類と「検証が最重要」の根拠
• Gemini 3.5 Pro、200万トークンのコンテキストウィンドウと「Deep Think」推論モードを搭載へ─6月中のリリース目指す
• SiriKitが正式に非推奨へ、App IntentsがSiri連携の必須基盤に——開発者に2〜3年の移行猶予【WWDC 2026】