NVD Vulnerability Detail

CVE-2023-42794

Summary	Incomplete Cleanup vulnerability in Apache Tomcat. The internal fork of Commons FileUpload packaged with Apache Tomcat 9.0.70 through 9.0.80 and 8.5.85 through 8.5.93 included an unreleased, in progress refactoring that exposed a potential denial of service on Windows if a web application opened a stream for an uploaded file but failed to close the stream. The file would never be deleted from disk creating the possibility of an eventual denial of service due to the disk being full. Users are recommended to upgrade to version 9.0.81 onwards or 8.5.94 onwards, which fixes the issue.
Publication Date	Oct. 11, 2023, 3:15 a.m.
Registration Date	Oct. 11, 2023, 10 a.m.
Last Update	Nov. 21, 2024, 5:23 p.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://www.openwall.com/lists/oss-security/2023/10/10/8	Mailing List Third Party Advisory
2	http://www.openwall.com/lists/oss-security/2023/10/10/8	Mailing List Third Party Advisory
3	https://lists.apache.org/thread/vvbr2ms7lockj1hlhz5q3wmxb2mwcw82	Mailing List Vendor Advisory
4	https://lists.apache.org/thread/vvbr2ms7lockj1hlhz5q3wmxb2mwcw82	Mailing List Vendor Advisory

Common Vulnerabilities List

JVN Vulnerability Information

Apache Software Foundation の Apache Tomcat における不完全なクリーンアップに関する脆弱性

Title	Apache Software Foundation の Apache Tomcat における不完全なクリーンアップに関する脆弱性
Summary	Apache Software Foundation の Apache Tomcat には、未リリースの進行中のリファクタリングが含まれているため、Web アプリケーションがアップロードされたファイルのストリームを開いたが、閉じることができなかった場合、不完全なクリーンアップに関する脆弱性が存在します。
Possible impacts	Windows 上でサービス運用妨害 (DoS) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Oct. 10, 2023, midnight
Registration Date	Dec. 27, 2023, 12:19 p.m.
Last Update	June 25, 2024, 12:31 p.m.

Affected System

Apache Software Foundation

Apache Tomcat 8.5.85 以上 8.5.94 未満

Apache Tomcat 9.0.70 以上 9.0.81 未満

日立

Hitachi Storage Provider for VMware vCenter

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2023-42794	https://www.cve.org/CVERecord?id=CVE-2023-42794
National Vulnerability Database (NVD)
2	CVE-2023-42794	https://nvd.nist.gov/vuln/detail/CVE-2023-42794

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-459	https://cwe.mitre.org/data/definitions/459.html

ベンダー情報

No	Name	URL
Hitachi Software Vulnerability Information
1	hitachi-sec-2024-128	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2024-128/index.html
Pony Mail
2	[SECURITY] CVE-2023-42794 Apache Tomcat - denial of service	https://lists.apache.org/thread/vvbr2ms7lockj1hlhz5q3wmxb2mwcw82
ソフトウェア製品セキュリティ情報
3	hitachi-sec-2024-128	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2024-128/index.html

その他

No	Name	URL
JVN
1	JVNVU#93620838	https://jvn.jp/vu/JVNVU93620838/
関連文書
2	www.openwall.com (oss-security/2023/10/10/8)	http://www.openwall.com/lists/oss-security/2023/10/10/8

Change Log

No	Changed Details	Date of change
1	[2023年12月27日] 掲載	Dec. 27, 2023, 12:19 p.m.
2	[2024年06月25日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2024-128) を追加	June 25, 2024, 11:45 a.m.