公開日:2023/02/21 最終更新日:2023/02/21

JVNVU#91253151
Apache TomcatのApache Commons FileUploadにおけるサービス運用妨害(DoS)の脆弱性

概要

Apache TomcatにはApache Commons FileUploadによる、サービス運用妨害(DoS)の脆弱性が存在します。

影響を受けるシステム

  • Apache Tomcat 10.1.0-M1から10.1.4までのバージョン
  • Apache Tomcat 9.0.0-M1から9.0.70までのバージョン
  • Apache Tomcat 8.5.0から8.5.84までのバージョン

詳細情報

Apache Commons FileUpload 1.5より前のバージョンでは1リクエストでアップロード可能なファイル数を制限していないため、サービス運用妨害(DoS)の脆弱性(CVE-2023-24998)が存在します。
Apache Tomcatのファイルアップロード機能にはApache Commons FileUploadパッケージのコピーが採用されており、同様にファイル数制限がないため、本脆弱性の影響を受ける可能性があります。

想定される影響

第三者によって、悪意のあるアップロードが行われ、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されているとのことです。

  • Apache Tomcat 10.1.5およびそれ以降のバージョン
  • Apache Tomcat 9.0.71およびそれ以降のバージョン
  • Apache Tomcat 8.5.85およびそれ以降のバージョン

ベンダ情報

ベンダ リンク
The Apache Software Foundation [SECURITY] CVE-2023-24998 Apache Commons FileUpload - DoS with excessive parts
Fixed in Apache Tomcat 10.1.5
Fixed in Apache Tomcat 9.0.71
Fixed in Apache Tomcat 8.5.85

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia