Apache Commons FileUpload および Apache Tomcat の脆弱性に関する注意喚起
最終更新: 2014-03-07
各位
JPCERT-AT-2014-0007
JPCERT/CC
2014-02-10(初版)
2014-03-07(更新)
<<< JPCERT/CC Alert 2014-02-10 >>>
Apache Commons FileUpload および Apache Tomcat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140007.html
I. 概要
Apache Commons FileUpload および Apache Tomcat にはマルチパートリク
エストの処理に脆弱性があります。結果として、遠隔の第三者は、細工した
HTTP リクエストを Web サーバに対して送ることで、サービス運用妨害 (DoS)
攻撃を行う可能性があります。脆弱性の詳細については、Apache Software
Foundation の情報を確認してください。
[SECURITY] CVE-2014-0050 Apache Commons FileUpload and Apache Tomcat DoS
http://mail-archives.us.apache.org/mod_mbox/www-announce/201402.mbox/%3C52F373FC.9030907@apache.org%3E
II. 対象
Apache Software Foundation によると、対象となる主なソフトウエアとバー
ジョンは以下の通りです。
- Apache Commons FileUpload 1.0 から 1.3
- Apache Tomcat 8.0.0-RC1 から 8.0.1
- Apache Tomcat 7.0.0 から 7.0.50
Apache Commons FileUpload を使用するその他のソフトウエアも影響を受け
る可能性があります。
III. 対策
Apache Software Foundation より、本脆弱性を修正した Apache Commons
FileUpload が公開されています。十分なテストを実施の上、修正済みバージ
ョンを適用することをお勧めします。
- Apache Commons FileUpload 1.3.1
http://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi
*** 更新: 2014年3月7日修正 *****************************************
本脆弱性を修正した Apache Tomcat 7 および 8 が公開されました。
- Apache Tomcat 7 Downloads
http://tomcat.apache.org/download-70.cgi
- Apache Tomcat 8 Downloads
http://tomcat.apache.org/download-80.cgi
また、本脆弱性を修正した Apache Commons FileUpload を含む Apache
Struts 2.3.16.1 が公開されました。
- Download a Release Struts 2.3.16.1
https://struts.apache.org/download.cgi#struts23161
十分なテストを実施の上、修正済みのバージョンを適用することをお勧め
します。適用が困難な場合は、以下の回避策の適用を検討してください。
- Content-Type ヘッダのサイズを 4091 より小さいサイズに制限する
**********************************************************************
IV. 参考情報
JVN#14876762
Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN14876762/index.html
Apache Software Foundation
FileUpload - Release Notes
http://commons.apache.org/proper/commons-fileupload/changes-report.html
*** 更新: 2014年2月20日修正 *****************************************
Apache Software Foundation
Apache Tomcat 7 (7.0.52) - Changelog
http://tomcat.apache.org/tomcat-7.0-doc/changelog.html#Tomcat_7.0.51_(violetagg)
Apache Software Foundation
Apache Tomcat 8 (8.0.3) - Changelog
http://tomcat.apache.org/tomcat-8.0-doc/changelog.html#Tomcat_8.0.2_(markt)
**********************************************************************
*** 更新: 2014年3月7日修正 *****************************************
Apache Software Foundation
Apache Struts 2 Documentation S2-020
https://struts.apache.org/release/2.3.x/docs/s2-020.html
**********************************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
- - ----------
改訂履歴
2014-02-10 初版
2014-02-20 対策、および参考情報を更新
2014-02-28 対象、および参考情報を更新
2014-03-07 対象、対策、および参考情報を更新
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ