-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2014-0007 JPCERT/CC 2014-02-10(初版) 2014-03-07(更新) <<< JPCERT/CC Alert 2014-02-10 >>> Apache Commons FileUpload および Apache Tomcat の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140007.html I. 概要 Apache Commons FileUpload および Apache Tomcat にはマルチパートリク エストの処理に脆弱性があります。結果として、遠隔の第三者は、細工した HTTP リクエストを Web サーバに対して送ることで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。脆弱性の詳細については、Apache Software Foundation の情報を確認してください。 [SECURITY] CVE-2014-0050 Apache Commons FileUpload and Apache Tomcat DoS http://mail-archives.us.apache.org/mod_mbox/www-announce/201402.mbox/%3C52F373FC.9030907@apache.org%3E II. 対象 Apache Software Foundation によると、対象となる主なソフトウエアとバー ジョンは以下の通りです。 - Apache Commons FileUpload 1.0 から 1.3 - Apache Tomcat 8.0.0-RC1 から 8.0.1 - Apache Tomcat 7.0.0 から 7.0.50 Apache Commons FileUpload を使用するその他のソフトウエアも影響を受け る可能性があります。 III. 対策 Apache Software Foundation より、本脆弱性を修正した Apache Commons FileUpload が公開されています。十分なテストを実施の上、修正済みバージ ョンを適用することをお勧めします。 - Apache Commons FileUpload 1.3.1 http://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi *** 更新: 2014年3月7日修正 ***************************************** 本脆弱性を修正した Apache Tomcat 7 および 8 が公開されました。 - Apache Tomcat 7 Downloads http://tomcat.apache.org/download-70.cgi - Apache Tomcat 8 Downloads http://tomcat.apache.org/download-80.cgi また、本脆弱性を修正した Apache Commons FileUpload を含む Apache Struts 2.3.16.1 が公開されました。 - Download a Release Struts 2.3.16.1 https://struts.apache.org/download.cgi#struts23161 十分なテストを実施の上、修正済みのバージョンを適用することをお勧め します。適用が困難な場合は、以下の回避策の適用を検討してください。 - Content-Type ヘッダのサイズを 4091 より小さいサイズに制限する ********************************************************************** IV. 参考情報 JVN#14876762 Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN14876762/index.html Apache Software Foundation FileUpload - Release Notes http://commons.apache.org/proper/commons-fileupload/changes-report.html *** 更新: 2014年2月20日修正 ***************************************** Apache Software Foundation Apache Tomcat 7 (7.0.52) - Changelog http://tomcat.apache.org/tomcat-7.0-doc/changelog.html#Tomcat_7.0.51_(violetagg) Apache Software Foundation Apache Tomcat 8 (8.0.3) - Changelog http://tomcat.apache.org/tomcat-8.0-doc/changelog.html#Tomcat_8.0.2_(markt) ********************************************************************** *** 更新: 2014年3月7日修正 ***************************************** Apache Software Foundation Apache Struts 2 Documentation S2-020 https://struts.apache.org/release/2.3.x/docs/s2-020.html ********************************************************************** 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 - - ---------- 改訂履歴 2014-02-10 初版 2014-02-20 対策、および参考情報を更新 2014-02-28 対象、および参考情報を更新 2014-03-07 対象、対策、および参考情報を更新 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTGSaAAAoJEDF9l6Rp7OBIoCcH/A+eR8j+QjMW45WzBCM2gjqT Puf917O3qFVJO+MLpALq4JpgR91a9vT6HO3LImAjouGjPgBUrgJ1inlIpA4l+cdG 6lC+s4xt31PLIRs9AbQfSyiWVpf4q3+cLgiWPohMf65NqdCtpMgCCFNP2cqGz6rR y9puLCQiTkT2kNhBKel4+J+ABsLKHP/Mgi8gijiDC11DoXOqKWFGgXoCIfdCWKzz aDIU4lnBC6e+WXJuEBg0dBnodpwQywSz91n/vVmYwB5JbNS5nBcci7JohnxNzz1Q AlW5NCZwtIRGX9HEXhOBkl0urX0uwadLip7gWZcaSyih1SJbnL3B5ArbWDjo+jE= =NwXs -----END PGP SIGNATURE-----