JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > 注意喚起 > 2014 > Apache Commons FileUpload および Apache Tomcat の脆弱性に関する注意喚起

最終更新: 2014-03-07

Apache Commons FileUpload および Apache Tomcat の脆弱性に関する注意喚起


各位

                                                  JPCERT-AT-2014-0007
                                                            JPCERT/CC
                                                     2014-02-10(初版)
                                                     2014-03-07(更新)

                  <<< JPCERT/CC Alert 2014-02-10 >>>

Apache Commons FileUpload および Apache Tomcat の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2014/at140007.html


I. 概要

  Apache Commons FileUpload および Apache Tomcat にはマルチパートリク
エストの処理に脆弱性があります。結果として、遠隔の第三者は、細工した
HTTP リクエストを Web サーバに対して送ることで、サービス運用妨害 (DoS)
攻撃を行う可能性があります。脆弱性の詳細については、Apache Software 
Foundation の情報を確認してください。

    [SECURITY] CVE-2014-0050 Apache Commons FileUpload and Apache Tomcat DoS
    http://mail-archives.us.apache.org/mod_mbox/www-announce/201402.mbox/%3C52F373FC.9030907@apache.org%3E


II. 対象

  Apache Software Foundation によると、対象となる主なソフトウエアとバー
ジョンは以下の通りです。

  - Apache Commons FileUpload 1.0 から 1.3
  - Apache Tomcat 8.0.0-RC1 から 8.0.1
  - Apache Tomcat 7.0.0 から 7.0.50

  Apache Commons FileUpload を使用するその他のソフトウエアも影響を受け
る可能性があります。


III. 対策

  Apache Software Foundation より、本脆弱性を修正した Apache Commons
FileUpload が公開されています。十分なテストを実施の上、修正済みバージ
ョンを適用することをお勧めします。

  - Apache Commons FileUpload 1.3.1
    http://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

*** 更新: 2014年3月7日修正 *****************************************

  本脆弱性を修正した Apache Tomcat 7 および 8 が公開されました。

  - Apache Tomcat 7 Downloads
    http://tomcat.apache.org/download-70.cgi

  - Apache Tomcat 8 Downloads
    http://tomcat.apache.org/download-80.cgi

  また、本脆弱性を修正した Apache Commons FileUpload を含む Apache
Struts 2.3.16.1 が公開されました。

  - Download a Release Struts 2.3.16.1
    https://struts.apache.org/download.cgi#struts23161

  十分なテストを実施の上、修正済みのバージョンを適用することをお勧め
します。適用が困難な場合は、以下の回避策の適用を検討してください。

  - Content-Type ヘッダのサイズを 4091 より小さいサイズに制限する

**********************************************************************


IV. 参考情報

  JVN#14876762
  Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性
  https://jvn.jp/jp/JVN14876762/index.html

  Apache Software Foundation
  FileUpload - Release Notes
  http://commons.apache.org/proper/commons-fileupload/changes-report.html

*** 更新: 2014年2月20日修正 *****************************************

  Apache Software Foundation
  Apache Tomcat 7 (7.0.52) - Changelog
  http://tomcat.apache.org/tomcat-7.0-doc/changelog.html#Tomcat_7.0.51_(violetagg)

  Apache Software Foundation
  Apache Tomcat 8 (8.0.3) - Changelog
  http://tomcat.apache.org/tomcat-8.0-doc/changelog.html#Tomcat_8.0.2_(markt)

**********************************************************************

*** 更新: 2014年3月7日修正 *****************************************

  Apache Software Foundation
  Apache Struts 2 Documentation S2-020
  https://struts.apache.org/release/2.3.x/docs/s2-020.html

**********************************************************************

  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

- - ----------

改訂履歴
2014-02-10 初版
2014-02-20 対策、および参考情報を更新
2014-02-28 対象、および参考情報を更新
2014-03-07 対象、対策、および参考情報を更新

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ