Apache Commons FileUpload のマルチパートリクエストの処理に起因する DoS の脆弱性(Scan Tech Report)
脆弱性と脅威 エクスプロイト
Apache Struts や Apache Tomcat で利用される Apache Commons FileUpload に、サービス運用妨害 (DoS) が発生する脆弱性が報告されています。
リモートの第三者に利用された場合、CPU リソースを大量消費させ、システムの正常な動作が妨害される可能性があります。
脆弱性を悪用された場合の影響度が高いため、影響を受けるバージョンの Apache Struts および Apache Tomcat を利用するユーザは可能な限り以下の対策を実施することを推奨します。
2.深刻度(CVSS)
5.0
http://jvndb.jvn.jp/cvss/ScoreCalc2.swf?name=JVNDB-2014-000017&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:P/RL:O/RC:C)&lang=ja&g=1
3.影響を受けるソフトウェア
Apache Commons FileUpload 1.3 以前
Apache Struts 2.3.16 以前
Apache Tomcat 7.0.50 以前
Apache Tomcat 8.0.1 以前
※1 Apache Commons FileUpload を利用する Jenkins, JSPWiki, JXP, Spring, Lucene-Solr, onemind-commons, Stapler, WSDL2c などのソフトウェアもこの脆弱性の影響を受ける可能性があります。
4.解説
Apache Commons は、再利用可能な Java コンポーネントをまとめた Apache プロジェクトです。その中の 1 つである FileUpload は、RFC 1867※2 で規定されるマルチパート形式のリクエストに対応したファイルアップロード機能を提供します。
Apache Struts 2.x および Apache Tomcat 7.x/8.x では、マルチパート形式のリクエストを処理するために、この Apache Commons FileUpload をコンポーネントとして使用しています。
Apache Commons FileUpload には、マルチパート形式のリクエストを扱う際に、Content-Type ヘッダの boundary パラメータを適切に処理しない不備があります。
このため、当該パラメータに 4092 バイト以上の文字列が指定された不正なマルチパート形式のリクエストを処理した場合、無限ループが発生し、大量の CPU リソースを消費してしまう脆弱性が存在します。
この脆弱性を利用することで、リモートの攻撃者は、Apache Commons FileUpload を利用する Apache Struts や Apache Tomcat が稼動するシステムのパフォーマンスを低下させ、システムをサービス不能状態にする可能性があります。
なお、Apache Tomcat 6 の管理アプリケーションの一部で、Apache Commons FileUpload をコンポーネントとして使用しているため、Apache Tomcat 6 もこの脆弱性の影響を受ける可能性があることが発見者である HIRT※3 より報告されています。
但し、当該管理アプリケーションは、認証されたユーザのみが使用できるものであり、脆弱性の影響は限定的であるとしています。
※2 http://www.ietf.org/rfc/rfc1867.txt
※3 http://www.hitachi.co.jp/hirt/publications/hirt-pub14003/index.html
5.対策
○Apache Commons FileUpload
======
以下の Web サイトより、Apache Commons FileUpload 1.3.1 以降を入手しアップデートすることで、この脆弱性を解消することが可能です。
Apache Commons FileUpload 1.3.1:
http://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi
……………………………………………………………………………………………
○Apache Struts
======
以下のサイトより Apache Struts 2.3.16.1 以降を入手しアップデートすることで、この脆弱性を解消することが可能です。
Apache Struts 2.3.16.1:
http://struts.apache.org/downloads.html
……………………………………………………………………………………………
○Apache Tomcat
======
以下のサイトより Apache Tomcat 7.0.52/8.0.3 以降を入手しアップデートすることで、この脆弱性を解消することが可能です。
あるいは、HTTP リクエストを扱う際の Content-Type ヘッダのサイズを 4091 バイト未満に制限することで、この脆弱性による影響を緩和することも可能です。
Apache Tomcat 7.0.52:
http://tomcat.apache.org/download-70.cgi
Apache Tomcat 8.0.3:
http://tomcat.apache.org/download-80.cgi
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
関連記事
-
Microsoft Internet Explorer の CTreeNode オブジェクトの取り扱いに起因する解放済みメモリ使用の脆弱性(Scan Tech Report)
-
Microsoft Internet Explorer の CMarkup オブジェクトの取り扱いに起因する 0-Day エクスプロイト(Scan Tech Report)
-
Microsoft Windows の Win32k.sys ドライバの実装に起因する整数オーバーフローの脆弱性(Scan Tech Report)
-
Linux Kernel の compat_sys_recvmmsg() 関数の実装に起因する権限昇格の脆弱性(Scan Tech Report)
ソース・関連リンク
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威
Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
世界的なシェアを誇る CMS ソフトウェア である Drupal に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。
-
医療・教育・金融・保険・公共 ~ 産業別の個人情報漏えいリスク(The Register)
世界中で起こるデータ漏えいの4分の1以上が組織の「内部関係者」の椅子とキーボードの間(の人間)から生じたと知っても、組織の経営陣は驚かないだろう。もちろん、それはそのような内部関係者が怪しげなリンクをクリックしたということではない。
-
シリアの病院爆撃、遠隔医療支援時の英国人医師PCから情報窃取か(The Register)
戦争により疲弊するアレッポで、インターネット越しに手術を手引きしたイギリス人外科医が、仮設病院を狙うために自分のPCがハッキングされ、そして病院が爆撃されたのではないかと懸念している。
-
ロシアが世界に仕掛ける「ハイブリッド戦」の鍵となる自称民主主義とサイバー戦闘力
図1はロシアが展開しているハイブリッド戦争のおおまかな流れである。
-
Adobe Flash Player の Primetime SDK における Use-After-Free の脆弱性(Scan Tech Report)
Adobe Flash Player に含まれている SDK に、ポインタ制御の不備が報告されています。
-
投資家向けにセキュリティ対策状況を開示すべきか、悪用を恐れ開示しないべきか~英上場企業実態(The Register)
FTSE100(ロンドン証券取引所上場銘柄時価総額上位100)企業のうち、オンラインでのビジネス保護について実施する診断についての情報開示を行っているのはわずか5社である。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ

3月のアクセス観測状況、不正侵入等の発信元IPアドレス数が増加(警察庁)

Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

「Drupal」の脆弱性を狙う攻撃が急増、注意を呼びかけ(サイバーセキュリティクラウド)

長期休暇における対策を紹介、偽セキュリティソフトなどの相談事例も(IPA)

マインクラフトユーザーを狙ったマルウェア問題への対策を実施(Mojang)

Oracleが複数製品のクリティカルパッチアップデートを公開(JPCERT/CC、IPA)
インシデント・事故 記事一覧へ

自動車税に係る個人情報の紛失が発覚(新潟県)

10代職員がマイナンバー事務で得た情報悪用し懲戒(横浜市)

体力測定値他48人分の個人情報が記録されたUSBメモリ紛失(京都橘大学)

教育情報ネットワークへの不正アクセス、新たに22,613人分が流出の可能性(前橋市)

ホームタウン活動の資料と個人情報を記録したUSBメモリを紛失(水戸ホーリーホック)

1年生40人分の生徒の個人情報確認用紙を紛失(大阪府)
調査・レポート・白書 記事一覧へ

Drupalにおけるリモートコード実行の脆弱性を検証(NTTデータ先端技術)

脆弱性情報の製品別登録件数、1位はDebian GNU/Linux、2位はAndroid(IPA)

フィルタリングを否定的に捉えている青少年の利用率は35.5%(総務省)

脅威の発生前の対策を重視する日本、レスポンスへの投資は最下位(ServiceNow)

2017年のDDoS攻撃、ビットコイン投資家増の韓国が標的に(CDNetworks)

子どものスマートフォン利用、16.2%は何らかのトラブルに遭遇(東京都)
研修・セミナー・カンファレンス 記事一覧へ

「セキュリティ・キャンプ全国大会2018」の参加募集を開始(IPA)

サイバーインテリジェンス入門~マキナレコード軍司氏講演

初心者向けハッキングハンズオン研修が盛況

エンドポイントへのサイバー攻撃を実体験するハンズオンセミナー開催、ジャパンネット銀行 CSIRT リーダー岩本氏 基調講演

トップとビリで売上3倍差!セキュリティへの取り組みが命運を分けた Hardening 2017 Fes
