公開日:2023/02/21 最終更新日:2024/02/26
JVNVU#91253151
Apache TomcatのApache Commons FileUploadにおけるサービス運用妨害(DoS)の脆弱性
Apache TomcatにはApache Commons FileUploadによる、サービス運用妨害(DoS)の脆弱性が存在します。
【2023年5月24日 追記】
CVE-2023-24998に対する修正が不十分であったとの情報が開発者より公開され、新たにCVE-2023-28709が採番されました。
CVE-2023-24998
- Apache Tomcat 11.0.0-M1
- Apache Tomcat 10.1.0-M1から10.1.4までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.70までのバージョン
- Apache Tomcat 8.5.0から8.5.84までのバージョン
- Apache Tomcat 11.0.0-M2から11.0.0-M4までのバージョン
- Apache Tomcat 10.1.5から10.1.7までのバージョン
- Apache Tomcat 9.0.71から9.0.73までのバージョン
- Apache Tomcat 8.5.85から8.5.87までのバージョン
Apache Commons FileUpload 1.5より前のバージョンでは1リクエストでアップロード可能なファイル数を制限していないため、サービス運用妨害(DoS)の脆弱性(CVE-2023-24998、CVE-2023-28709)が存在します。
Apache Tomcatのファイルアップロード機能にはApache Commons FileUploadパッケージのコピーが採用されており、同様にファイル数制限がないため、本脆弱性の影響を受ける可能性があります。
第三者によって、悪意のあるアップロードが行われ、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されているとのことです。
- Apache Tomcat 11.0.0-M5およびそれ以降のバージョン
- Apache Tomcat 10.1.8およびそれ以降のバージョン
- Apache Tomcat 9.0.74およびそれ以降のバージョン
- Apache Tomcat 8.5.88およびそれ以降のバージョン
Apache Commons FileUpload 1.5およびそれ以降のバージョンにおいては、1リクエストでアップロード可能なファイル数を設定可能とするオプションが追加されました。ただし、当該設定はデフォルトでは無効であり、利用者側で明示的に設定を追加する必要があります。
なお、Apache Tomcatにおいては当該設定にデフォルトで特定の値が指定されています。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| 日本電気株式会社 | 該当製品あり | 2024/02/26 |
- 2023/04/06
- [対策方法]、[ベンダ情報]を更新しました
- 2023/05/24
- [影響を受けるシステム]、[詳細情報]、[対策方法]、[ベンダ情報]を更新しました
- 2023/07/03
- 日本電気株式会社のベンダステータスが更新されました
- 2023/09/01
- 日本電気株式会社のベンダステータスが更新されました
- 2024/02/26
- 日本電気株式会社のベンダステータスが更新されました
