公開日:2023/02/21 最終更新日:2023/09/01

JVNVU#91253151
Apache TomcatのApache Commons FileUploadにおけるサービス運用妨害(DoS)の脆弱性

概要

Apache TomcatにはApache Commons FileUploadによる、サービス運用妨害(DoS)の脆弱性が存在します。

影響を受けるシステム

【2023年5月24日 追記】
CVE-2023-24998に対する修正が不十分であったとの情報が開発者より公開され、新たにCVE-2023-28709が採番されました。

CVE-2023-24998

  • Apache Tomcat 11.0.0-M1
  • Apache Tomcat 10.1.0-M1から10.1.4までのバージョン
  • Apache Tomcat 9.0.0-M1から9.0.70までのバージョン
  • Apache Tomcat 8.5.0から8.5.84までのバージョン
CVE-2023-28709
  • Apache Tomcat 11.0.0-M2から11.0.0-M4までのバージョン
  • Apache Tomcat 10.1.5から10.1.7までのバージョン
  • Apache Tomcat 9.0.71から9.0.73までのバージョン
  • Apache Tomcat 8.5.85から8.5.87までのバージョン

詳細情報

Apache Commons FileUpload 1.5より前のバージョンでは1リクエストでアップロード可能なファイル数を制限していないため、サービス運用妨害(DoS)の脆弱性(CVE-2023-24998、CVE-2023-28709)が存在します。
Apache Tomcatのファイルアップロード機能にはApache Commons FileUploadパッケージのコピーが採用されており、同様にファイル数制限がないため、本脆弱性の影響を受ける可能性があります。

想定される影響

第三者によって、悪意のあるアップロードが行われ、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されているとのことです。

  • Apache Tomcat 11.0.0-M5およびそれ以降のバージョン
  • Apache Tomcat 10.1.8およびそれ以降のバージョン
  • Apache Tomcat 9.0.74およびそれ以降のバージョン
  • Apache Tomcat 8.5.88およびそれ以降のバージョン
【2023/4/6 追記】
Apache Commons FileUpload 1.5およびそれ以降のバージョンにおいては、1リクエストでアップロード可能なファイル数を設定可能とするオプションが追加されました。ただし、当該設定はデフォルトでは無効であり、利用者側で明示的に設定を追加する必要があります。
なお、Apache Tomcatにおいては当該設定にデフォルトで特定の値が指定されています。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
日本電気株式会社 該当製品あり 2023/09/01

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/04/06
[対策方法]、[ベンダ情報]を更新しました
2023/05/24
[影響を受けるシステム]、[詳細情報]、[対策方法]、[ベンダ情報]を更新しました
2023/07/03
日本電気株式会社のベンダステータスが更新されました
2023/09/01
日本電気株式会社のベンダステータスが更新されました