ブログ IP住所検索
CWE一覧に戻る
CWE-382

J2EEバッドプラクティス:System.exit() の使用

J2EE Bad Practices: Use of System.exit()
脆弱性 レビュー中
日本語説明
JA

J2EEアプリケーションはSystem.exit()を使用し、コンテナもシャットダウンします。

ウェブ・アプリケーションがアプリケーション・コンテナをシャットダウンしようとするのは、決して良い考え ではありません。アプリケーションをシャットダウンできる機能へのアクセスは、サービス拒否(DoS)攻撃の手段です。

原文 (English)
EN

A J2EE application uses System.exit(), which also shuts down its container.

It is never a good idea for a web application to attempt to shut down the application container. Access to a function that can shut down the application is an avenue for Denial of Service (DoS) attacks.

関連する脆弱性
CWE-705 不正確なコントロール・フロー・スコープ
想定される影響
Scope: Availability / Impact: DoS: Crash, Exit, or Restart
対策・緩和策
The shutdown function should be a privileged function available only to a properly authorized administrative user
Web applications should not call methods that cause the virtual machine to exit, such as System.exit()
Web applications should also not throw any Throwables to the application server as this may adversely affect the container.
Non-web applications may have a main() method that contains a System.exit(), but generally should not call System.exit() from other locations in the code
外部リンク
MITRE公式ページ — CWE-382