| Title | Apache Tomcat の Apache Commons FileUpload におけるサービス運用妨害(DoS)の脆弱性 |
|---|---|
| Summary | Apache Commons FileUpload 1.5 より前のバージョンでは1リクエストでアップロード可能なファイル数を制限していないため、サービス運用妨害(DoS)の脆弱性(CVE-2023-24998、CVE-2023-28709)が存在します。 Apache Tomcatのファイルアップロード機能には Apache Commons FileUpload パッケージのコピーが採用されており、同様にファイル数制限がないため、本脆弱性の影響を受ける可能性があります。 |
| Possible impacts | 第三者によって、悪意のあるアップロードが行われ、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は次のバージョンで修正されているとのことです。 * Apache Tomcat 11.0.0-M5 およびそれ以降のバージョン * Apache Tomcat 10.1.8 およびそれ以降のバージョン * Apache Tomcat Apache Tomcat 9.0.74 およびそれ以降のバージョン * Apache Tomcat 8.5.88 およびそれ以降のバージョン 【2023/4/6 追記】 Apache Commons FileUpload 1.5 およびそれ以降のバージョンにおいては、1リクエストでアップロード可能なファイル数を設定可能とするオプションが追加されました。ただし、当該設定はデフォルトでは無効であり、利用者側で明示的に設定を追加する必要があります。 なお、Apache Tomcat においては当該設定にデフォルトで特定の値が指定されています。 |
| Publication Date | Feb. 21, 2023, midnight |
| Registration Date | Feb. 22, 2023, 12:02 p.m. |
| Last Update | Jan. 17, 2024, 10:40 a.m. |
| Apache Software Foundation |
| Apache Tomcat 10.1.0-M1 から 10.1.4 までのバージョン (CVE-2023-24998) |
| Apache Tomcat 10.1.5 から 10.1.7 までのバージョン (CVE-2023-28709) |
| Apache Tomcat 11.0.0-M1 (CVE-2023-24998) |
| Apache Tomcat 11.0.0-M2 から 11.0.0-M4 までのバージョン (CVE-2023-28709) |
| Apache Tomcat 8.5.0 から 8.5.84 までのバージョン (CVE-2023-24998) |
| Apache Tomcat 8.5.85 から 8.5.87 までのバージョン (CVE-2023-28709) |
| Apache Tomcat 9.0.0-M1 から 9.0.70 までのバージョン (CVE-2023-24998) |
| Apache Tomcat 9.0.71 から 9.0.73 までのバージョン (CVE-2023-28709) |
| Commons FileUpload 1.5 未満 |
| 日本電気 |
| ActSecure ポータル |
| CONNEXIVE PF |
| EnterpriseIdentityManager 8.2 から 8.7 |
| ESMPRO/ServerManager |
| NEC Advanced Analytics Platform Modeler |
| NEC Information Assessment System |
| NeoFace Monitor |
| WebOTX Application Server Express 10.1 から 11.1 |
| WebOTX Application Server Standard 10.1 から 11.1 |
| WebOTX Application Server Standard Extended Option 11.1 |
| WebSAM IT Process Management |
| 日立 |
| Hitachi Tuning Manager |
| No | Changed Details | Date of change |
|---|---|---|
| 7 | [2023年10月04日] ベンダ情報:日立 (hitachi-sec-2023-141) を追加 |
Oct. 4, 2023, 1:33 p.m. |
| 4 | [2023年06月14日] ベンダ情報:日立(hitachi-sec-2023-121) を追加 |
June 14, 2023, 11:20 a.m. |
| 5 | [2023年07月20日] ベンダ情報:日立 (hitachi-sec-2023-127) を追加 |
July 20, 2023, 11:27 a.m. |
| 6 | [2023年09月05日] 影響を受けるシステム:ベンダ情報 (NV23-005) の更新に伴い内容を更新 |
Sept. 5, 2023, 4:31 p.m. |
| 3 | [2023年05月25日] 概要:内容を更新 影響を受けるシステム:内容を更新 対策:内容を更新 ベンダ情報:内容を変更 共通脆弱性識別子(CVE):CVE-2023-28709 を追加 参考情報:National Vulnerability Database (NVD) (CVE-2023-28709) を追加 |
May 25, 2023, 4:52 p.m. |
| 1 | [2023年02月22日] 掲載 |
Feb. 22, 2023, 12:02 p.m. |
| 2 | [2023年04月25日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日本電気 (NV23-005) を追加 |
April 25, 2023, 4:03 p.m. |
| 8 | [2023年11月20日] 影響を受けるシステム:ベンダ情報 (NV23-005) の更新に伴い内容を更新 |
Nov. 20, 2023, 1:33 p.m. |
| 9 | [2024年01月16日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日立 (hitachi-sec-2024-102) を追加 |
Jan. 17, 2024, 10:38 a.m. |
| Summary | Apache Commons FileUpload before 1.5 does not limit the number of request parts to be processed resulting in the possibility of an attacker triggering a DoS with a malicious upload or series of uploads. Note that, like all of the file upload limits, the |
|---|---|
| Publication Date | Feb. 21, 2023, 1:15 a.m. |
| Registration Date | Feb. 21, 2023, 10 a.m. |
| Last Update | Nov. 21, 2024, 4:48 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:commons_fileupload:*:*:*:*:*:*:*:* | 1.0 | 1.5 | |||
| cpe:2.3:a:apache:commons_fileupload:1.0:beta:*:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* | |||||
| Summary | The fix for CVE-2023-24998 was incomplete for Apache Tomcat 11.0.0-M2 to 11.0.0-M4, 10.1.5 to 10.1.7, 9.0.71 to 9.0.73 and 8.5.85 to 8.5.87. If non-default HTTP connector settings were used such that the maxParameterCount could be reached using query string parameters and a request was submitted that supplied exactly maxParameterCount parameters in the query string, the limit for uploaded request parts could be bypassed with the potential for a denial of service to occur. |
|---|---|
| Publication Date | May 22, 2023, 8:15 p.m. |
| Registration Date | May 23, 2023, 10 a.m. |
| Last Update | Nov. 21, 2024, 4:55 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:tomcat:11.0.0:milestone2:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:tomcat:11.0.0:milestone4:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:tomcat:11.0.0:milestone3:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* | 10.1.5 | 10.1.7 | |||
| cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* | 9.0.71 | 9.0.73 | |||
| cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* | 8.5.85 | 8.5.87 | |||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:o:debian:debian_linux:12.0:*:*:*:*:*:*:* | |||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:a:netapp:7-mode_transition_tool:-:*:*:*:*:*:*:* | |||||