Struts にクロスサイトスクリプティングのセキュリティホール!
http://wiki.apache.org/struts/StrutsXssVulnerability
http://www.hacktics.com/AdvStrutsNov05.html
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/full-disclosure/2005.11/msg00684.html
対策は,以下のどれか
- "unknown" Action を設定する
- Struts 1.2.8 へアップデート
- 404 エラーのページを設定する
ただし,アプリケーションサーバによって問題が発生しないものもあるらしい
(実は,アプリケーションサーバの脆弱性か?)
脆弱性あり(WebLogic 8.1 SP4/SP5, Resin Web Server)
脆弱性なし(Tomcat 5.5.9/5.5.12)
Tomcat4.1.X, Tomcat5.0.X, WebSphere5.1 なども大丈夫だったとの情報もあり.