uehaj's blog

Grな日々 - GroovyとかGrailsとかElmとかRustとかHaskellとかReactとかFregeとかJavaとか -

Grails 2.x脆弱性情報(WEB-INF配下が読みとられる)

grails

脆弱性情報のアナウンスがでています。

http://grails.1312388.n4.nabble.com/IMPORTANT-CVE-2014-0053-Information-Disclosure-in-Grails-applications-td4654254.html

http://cxsecurity.com/issue/WLB-2014020172

Grails 2.xのリソースプラグインのデフォルト値が問題があって、リソースプラグインを使っている場合(外してない場合)、WEB-INF配下のクラスファイル群などが第三者に読みとられてしまうという結構シリアスな問題です。2.3.6へのアップグレードもしくは設定変更で対処できるとのことです。
あてはまる方はご注意を。

まだ以下には出てませんね。

http://www.cvedetails.com/product/23317/Springsource-Grails.html?vendor_id=9664

(追加)
http://www.gopivotal.com/security/cve-2014-0053