リフレクションでJavaBeansを作る系の脆弱性の話
JavaBeansに対するリフレクションとClassLoader脆弱性 - ひがやすを blog などなどで触れられている今回のStrutsに始まった脆弱性の話ですが、BeansUtil系に限らず、文字列(XML/JSON)からJavaBeansを作る系のライブラリも危ないのでは?なんて思ってます。
独自のBeansUtilを持っているSpring Frameworkについてはざざっと
- spring-framework/spring-beans/src/main/java/org/springframework/beans/BeanUtils.java at 3.2.x · spring-projects/spring-framework · GitHub
- spring-framework/spring-beans/src/main/java/org/springframework/beans/CachedIntrospectionResults.java at 3.2.x · spring-projects/spring-framework · GitHub
を見てみましたが、なんかやばそうな気がしました。そもそも、見るのがここで合ってるかわかりませんが。
それと、JSONIC-1.3.3のソースもチェック。
- ファイル詳細: /tags/v1.3.3/jsonic-1.3/src/net/arnx/jsonic/JSON.java (head) - jsonic (svn) - JSONIC - SourceForge.JP
- ファイル詳細: /tags/v1.3.3/jsonic-1.3/src/net/arnx/jsonic/JSONReader.java (head) - jsonic (svn) - JSONIC - SourceForge.JP
正直わからん。なんとも言えない。