Apache Commons FileUpload のマルチパートリクエストの処理に起因する DoS の脆弱性(Scan Tech Report)
Apache Struts や Apache Tomcat で利用される Apache Commons FileUpload に、サービス運用妨害 (DoS) が発生する脆弱性が報告されています。
脆弱性と脅威
エクスプロイト
Apache Struts や Apache Tomcat で利用される Apache Commons FileUpload に、サービス運用妨害 (DoS) が発生する脆弱性が報告されています。
リモートの第三者に利用された場合、CPU リソースを大量消費させ、システムの正常な動作が妨害される可能性があります。
脆弱性を悪用された場合の影響度が高いため、影響を受けるバージョンの Apache Struts および Apache Tomcat を利用するユーザは可能な限り以下の対策を実施することを推奨します。
2.深刻度(CVSS)
5.0
http://jvndb.jvn.jp/cvss/ScoreCalc2.swf?name=JVNDB-2014-000017&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:P/RL:O/RC:C)&lang=ja&g=1
3.影響を受けるソフトウェア
Apache Commons FileUpload 1.3 以前
Apache Struts 2.3.16 以前
Apache Tomcat 7.0.50 以前
Apache Tomcat 8.0.1 以前
※1 Apache Commons FileUpload を利用する Jenkins, JSPWiki, JXP, Spring, Lucene-Solr, onemind-commons, Stapler, WSDL2c などのソフトウェアもこの脆弱性の影響を受ける可能性があります。
4.解説
Apache Commons は、再利用可能な Java コンポーネントをまとめた Apache プロジェクトです。その中の 1 つである FileUpload は、RFC 1867※2 で規定されるマルチパート形式のリクエストに対応したファイルアップロード機能を提供します。
Apache Struts 2.x および Apache Tomcat 7.x/8.x では、マルチパート形式のリクエストを処理するために、この Apache Commons FileUpload をコンポーネントとして使用しています。
Apache Commons FileUpload には、マルチパート形式のリクエストを扱う際に、Content-Type ヘッダの boundary パラメータを適切に処理しない不備があります。
このため、当該パラメータに 4092 バイト以上の文字列が指定された不正なマルチパート形式のリクエストを処理した場合、無限ループが発生し、大量の CPU リソースを消費してしまう脆弱性が存在します。
この脆弱性を利用することで、リモートの攻撃者は、Apache Commons FileUpload を利用する Apache Struts や Apache Tomcat が稼動するシステムのパフォーマンスを低下させ、システムをサービス不能状態にする可能性があります。
なお、Apache Tomcat 6 の管理アプリケーションの一部で、Apache Commons FileUpload をコンポーネントとして使用しているため、Apache Tomcat 6 もこの脆弱性の影響を受ける可能性があることが発見者である HIRT※3 より報告されています。
但し、当該管理アプリケーションは、認証されたユーザのみが使用できるものであり、脆弱性の影響は限定的であるとしています。
※2 http://www.ietf.org/rfc/rfc1867.txt
※3 http://www.hitachi.co.jp/hirt/publications/hirt-pub14003/index.html
5.対策
○Apache Commons FileUpload
======
以下の Web サイトより、Apache Commons FileUpload 1.3.1 以降を入手しアップデートすることで、この脆弱性を解消することが可能です。
Apache Commons FileUpload 1.3.1:
http://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi
……………………………………………………………………………………………
○Apache Struts
======
以下のサイトより Apache Struts 2.3.16.1 以降を入手しアップデートすることで、この脆弱性を解消することが可能です。
Apache Struts 2.3.16.1:
http://struts.apache.org/downloads.html
……………………………………………………………………………………………
○Apache Tomcat
======
以下のサイトより Apache Tomcat 7.0.52/8.0.3 以降を入手しアップデートすることで、この脆弱性を解消することが可能です。
あるいは、HTTP リクエストを扱う際の Content-Type ヘッダのサイズを 4091 バイト未満に制限することで、この脆弱性による影響を緩和することも可能です。
Apache Tomcat 7.0.52:
http://tomcat.apache.org/download-70.cgi
Apache Tomcat 8.0.3:
http://tomcat.apache.org/download-80.cgi
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
ソース・関連リンク
関連記事
-
Microsoft Internet Explorer の CTreeNode オブジェクトの取り扱いに起因する解放済みメモリ使用の脆弱性(Scan Tech Report)
-
Microsoft Internet Explorer の CMarkup オブジェクトの取り扱いに起因する 0-Day エクスプロイト(Scan Tech Report)
-
Microsoft Windows の Win32k.sys ドライバの実装に起因する整数オーバーフローの脆弱性(Scan Tech Report)
-
Linux Kernel の compat_sys_recvmmsg() 関数の実装に起因する権限昇格の脆弱性(Scan Tech Report)
Scan PREMIUM 会員限定記事
もっと見る-
![彷彿 Stuxnet/セキュリティ業界資金調達史上最高/サプライチェーン対処ベストプラクティス ほか [Scan PREMIUM Monthly Executive Summary]](/imgs/std_l/34318.jpg)
脆弱性と脅威彷彿 Stuxnet/セキュリティ業界資金調達史上最高/サプライチェーン対処ベストプラクティス ほか [Scan PREMIUM Monthly Executive Summary]
米国がこれらの 3 カ国によるサイバー攻撃への対応として、経済制裁だけに留まらず、物理的紛争(ドローンによる特定施設への物理的打撃まど)に発展することへの懸念を示しています。
-
ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業
ランサムウェアによる攻撃を行う犯罪者へと企業が保険金の支払いによって被害を免れることを禁止する法律が必要であると、かつてイギリスの政府通信本部(GCHQ)で高い地位に就いていた多くの人物らが最近になって声を上げるようになっている。
-
Apache Druid において JavaScript の注入により遠隔からの任意のコード実行が可能となる脆弱性(Scan Tech Report)
2021 年 1 月に、データ処理サーバソフトウェアである Apache Druid に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
-
1トン重いと知らずに飛んだボーイング機、原因はチェックインプログラムのオフショア開発委託先国の「文化」の違い
英国の航空会社TUI が乗客のチェックインに利用するソフトウェアに、プログラミング上のエラーがあった。そのために、昨年 7 月の 3 便のフライトで機体重量の計算を間違え、重大な安全上の問題が発生するおそれがあった。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
LogStareのSOCの窓 第一回「錠前を購入したが施錠せず」
![彷彿 Stuxnet/セキュリティ業界資金調達史上最高/サプライチェーン対処ベストプラクティス ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/std_m/34318.jpg)
彷彿 Stuxnet/セキュリティ業界資金調達史上最高/サプライチェーン対処ベストプラクティス ほか [Scan PREMIUM Monthly Executive Summary]
トレンドマイクロ製 Apex One およびウイルスバスターシリーズに複数の脆弱性
EC-CUBE にXSSの脆弱性、悪用した攻撃によるクレジットカード情報流出も確認
NISC、大型連休明けに確認が必要な4点の情報について製品名を挙げて注意喚起
オンプレミス(私有地)からパブリッククラウド(公道)へ、「ガードレール型セキュリティ」とクラウド事故の三大人因とは?
インシデント・事故 記事一覧へ
誤送信で佛教大学研究者と研究課題の関係者、取引先の個人情報が流出
クラウド型システムの設定不備による茨木市公式アプリ「いばライフ」への不正アクセス、調査結果を発表
神奈川銀行で2018年5月から計39回の誤送信、業務提携先からの連絡で行内点検し発覚
問い合わせフォームの自動返信メールを全登録者15,913名に送信、宛先設定誤りが原因
岡野バルブ製造のグループシステムへサイバー攻撃、ランサムウェアに感染
B.LEAGUE会員向けキャンペーンで会員氏名が漏えい、氏名データがずれた状態で発送
調査・レポート・白書 記事一覧へ
銀行130社ドメインアカウントの漏えい調査、2008から2020年で累計7,978件
NISC、政府機関等における業務でのLINE 利用状況調査を公表
CrowdStrike Adversary Calender 2021 年 5 月( MYTHIC LEOPARD )
脆弱性発見時の対応フェーズについても解説、CSAJ「ソフトウェアの安全性を意識した管理体制」公開
感染症の流行を追加、NISC「中央省庁における情報システム運用継続計画ガイドライン」改訂
オンライン会議やビジネスチャットで相手を不快にさせることベスト10
研修・セミナー・カンファレンス 記事一覧へ
もし我が社のAWSアカウントが、ペネトレーションテストツール「Endgame」で攻撃されたら ~ SHIFT SECURITY オンラインセミナー開催
British Airwaysの被害事例も~「Webスキミング」のリアルな実態と対策「第2回フィッシング対策勉強会」資料公開
NICT、「CYDERオンライン」オープンβ版の受講者募集を開始
セキュリティ業界初の本格的 eスポーツ大会「LogStare eSports Series」開催、第1回種目は「Apex Legends」
Interop Tokyo Best of Show Award 審査プロセスと 2021 年セキュリティカテゴリ受賞製品一覧、及び贈賞理由
セキュリティ・キャンプ全国大会2021、今年はオンラインで開催
製品・サービス・業界動向 記事一覧へ
セキュアイノベーション、エンジニア育成にGSX提供「セキュリスト(SecuriST)認定脆弱性診断士 公式トレーニング」活用
クラウドエースがSHIFT SECURITYと提携、Google Cloud のセキュリティ診断サービス提供
PCI DSS 要件 6.5 対応の開発者向けオンライントレーニングを改訂、最新事例と 4 月施行の改正割賦販売法に対応
富士通、アマゾンウェブサービスとモビリティ業界のDX加速に向けグローバルにおける協業に合意
日本ペンクラブ吉岡会長「ずさんなデジタル法案をただちに廃案に」
