製品・ソフトウェアに関する情報
Apache Tomcat の Apache Commons FileUpload におけるサービス運用妨害(DoS)の脆弱性
Title Apache Tomcat の Apache Commons FileUpload におけるサービス運用妨害(DoS)の脆弱性
Summary

Apache Commons FileUpload 1.5 より前のバージョンでは1リクエストでアップロード可能なファイル数を制限していないため、サービス運用妨害(DoS)の脆弱性(CVE-2023-24998、CVE-2023-28709)が存在します。 Apache Tomcatのファイルアップロード機能には Apache Commons FileUpload パッケージのコピーが採用されており、同様にファイル数制限がないため、本脆弱性の影響を受ける可能性があります。

Possible impacts 第三者によって、悪意のあるアップロードが行われ、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。 
Solution

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は次のバージョンで修正されているとのことです。  * Apache Tomcat 11.0.0-M5 およびそれ以降のバージョン  * Apache Tomcat 10.1.8 およびそれ以降のバージョン  * Apache Tomcat Apache Tomcat 9.0.74 およびそれ以降のバージョン  * Apache Tomcat 8.5.88 およびそれ以降のバージョン 【2023/4/6 追記】 Apache Commons FileUpload 1.5 およびそれ以降のバージョンにおいては、1リクエストでアップロード可能なファイル数を設定可能とするオプションが追加されました。ただし、当該設定はデフォルトでは無効であり、利用者側で明示的に設定を追加する必要があります。 なお、Apache Tomcat においては当該設定にデフォルトで特定の値が指定されています。

Publication Date Feb. 21, 2023, midnight
Registration Date Feb. 22, 2023, 12:02 p.m.
Last Update Jan. 17, 2024, 10:40 a.m.
Affected System
Apache Software Foundation
Apache Tomcat 10.1.0-M1 から 10.1.4 までのバージョン (CVE-2023-24998)
Apache Tomcat 10.1.5 から 10.1.7 までのバージョン (CVE-2023-28709)
Apache Tomcat 11.0.0-M1 (CVE-2023-24998)
Apache Tomcat 11.0.0-M2 から 11.0.0-M4 までのバージョン (CVE-2023-28709)
Apache Tomcat 8.5.0 から 8.5.84 までのバージョン (CVE-2023-24998)
Apache Tomcat 8.5.85 から 8.5.87 までのバージョン (CVE-2023-28709)
Apache Tomcat 9.0.0-M1 から 9.0.70 までのバージョン (CVE-2023-24998)
Apache Tomcat 9.0.71 から 9.0.73 までのバージョン (CVE-2023-28709)
Commons FileUpload 1.5 未満
日本電気
ActSecure ポータル 
CONNEXIVE PF 
EnterpriseIdentityManager 8.2 から 8.7
ESMPRO/ServerManager 
NEC Advanced Analytics Platform Modeler 
NEC Information Assessment System 
NeoFace Monitor 
WebOTX Application Server Express 10.1 から 11.1
WebOTX Application Server Standard 10.1 から 11.1
WebOTX Application Server Standard Extended Option 11.1
WebSAM IT Process Management 
日立
Hitachi Tuning Manager 
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
Change Log
No Changed Details Date of change
7 [2023年10月04日]
  ベンダ情報:日立 (hitachi-sec-2023-141) を追加
Oct. 4, 2023, 1:33 p.m.
4 [2023年06月14日]
  ベンダ情報:日立(hitachi-sec-2023-121) を追加
June 14, 2023, 11:20 a.m.
5 [2023年07月20日]
  ベンダ情報:日立 (hitachi-sec-2023-127) を追加
July 20, 2023, 11:27 a.m.
6 [2023年09月05日]
  影響を受けるシステム:ベンダ情報 (NV23-005) の更新に伴い内容を更新
Sept. 5, 2023, 4:31 p.m.
3 [2023年05月25日]
  概要:内容を更新
  影響を受けるシステム:内容を更新
  対策:内容を更新
  ベンダ情報:内容を変更
  共通脆弱性識別子(CVE):CVE-2023-28709 を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2023-28709) を追加
May 25, 2023, 4:52 p.m.
1 [2023年02月22日]
  掲載
Feb. 22, 2023, 12:02 p.m.
2 [2023年04月25日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日本電気 (NV23-005) を追加
April 25, 2023, 4:03 p.m.
8 [2023年11月20日]
  影響を受けるシステム:ベンダ情報 (NV23-005) の更新に伴い内容を更新
Nov. 20, 2023, 1:33 p.m.
9 [2024年01月16日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (hitachi-sec-2024-102) を追加
Jan. 17, 2024, 10:38 a.m.

NVD Vulnerability Information
CVE-2023-24998
Summary

Apache Commons FileUpload before 1.5 does not limit the number of request parts to be processed resulting in the possibility of an attacker triggering a DoS with a malicious upload or series of uploads.

Note that, like all of the file upload limits, the
new configuration option (FileUploadBase#setFileCountMax) is not
enabled by default and must be explicitly configured.

Publication Date Feb. 21, 2023, 1:15 a.m.
Registration Date Feb. 21, 2023, 10 a.m.
Last Update Nov. 21, 2024, 4:48 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:commons_fileupload:*:*:*:*:*:*:*:* 1.0 1.5
cpe:2.3:a:apache:commons_fileupload:1.0:beta:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
CVE-2023-28709
Summary

The fix for CVE-2023-24998 was incomplete for Apache Tomcat 11.0.0-M2 to 11.0.0-M4, 10.1.5 to 10.1.7, 9.0.71 to 9.0.73 and 8.5.85 to 8.5.87. If non-default HTTP connector settings were used such that the maxParameterCount could be reached using query string parameters and a request was submitted that supplied exactly maxParameterCount parameters in the query string, the limit for uploaded request parts could be bypassed with the potential for a denial of service to occur.

Publication Date May 22, 2023, 8:15 p.m.
Registration Date May 23, 2023, 10 a.m.
Last Update Nov. 21, 2024, 4:55 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:tomcat:11.0.0:milestone2:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone4:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone3:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 10.1.5 10.1.7
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 9.0.71 9.0.73
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 8.5.85 8.5.87
Configuration2 or higher or less more than less than
cpe:2.3:o:debian:debian_linux:12.0:*:*:*:*:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:a:netapp:7-mode_transition_tool:-:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List