Apache Tomcat の Apache Commons FileUpload におけるサービス運用妨害(DoS)の脆弱性
タイトル Apache Tomcat の Apache Commons FileUpload におけるサービス運用妨害(DoS)の脆弱性
概要

Apache Commons FileUpload 1.5 より前のバージョンでは1リクエストでアップロード可能なファイル数を制限していないため、サービス運用妨害(DoS)の脆弱性(CVE-2023-24998、CVE-2023-28709)が存在します。 Apache Tomcatのファイルアップロード機能には Apache Commons FileUpload パッケージのコピーが採用されており、同様にファイル数制限がないため、本脆弱性の影響を受ける可能性があります。

想定される影響 第三者によって、悪意のあるアップロードが行われ、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。 
対策

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は次のバージョンで修正されているとのことです。  * Apache Tomcat 11.0.0-M5 およびそれ以降のバージョン  * Apache Tomcat 10.1.8 およびそれ以降のバージョン  * Apache Tomcat Apache Tomcat 9.0.74 およびそれ以降のバージョン  * Apache Tomcat 8.5.88 およびそれ以降のバージョン 【2023/4/6 追記】 Apache Commons FileUpload 1.5 およびそれ以降のバージョンにおいては、1リクエストでアップロード可能なファイル数を設定可能とするオプションが追加されました。ただし、当該設定はデフォルトでは無効であり、利用者側で明示的に設定を追加する必要があります。 なお、Apache Tomcat においては当該設定にデフォルトで特定の値が指定されています。

公表日 2023年2月21日0:00
登録日 2023年2月22日12:02
最終更新日 2024年1月17日10:40
影響を受けるシステム
Apache Software Foundation
Apache Tomcat 10.1.0-M1 から 10.1.4 までのバージョン (CVE-2023-24998)
Apache Tomcat 10.1.5 から 10.1.7 までのバージョン (CVE-2023-28709)
Apache Tomcat 11.0.0-M1 (CVE-2023-24998)
Apache Tomcat 11.0.0-M2 から 11.0.0-M4 までのバージョン (CVE-2023-28709)
Apache Tomcat 8.5.0 から 8.5.84 までのバージョン (CVE-2023-24998)
Apache Tomcat 8.5.85 から 8.5.87 までのバージョン (CVE-2023-28709)
Apache Tomcat 9.0.0-M1 から 9.0.70 までのバージョン (CVE-2023-24998)
Apache Tomcat 9.0.71 から 9.0.73 までのバージョン (CVE-2023-28709)
Commons FileUpload 1.5 未満
日本電気
ActSecure ポータル 
CONNEXIVE PF 
EnterpriseIdentityManager 8.2 から 8.7
ESMPRO/ServerManager 
NEC Advanced Analytics Platform Modeler 
NEC Information Assessment System 
NeoFace Monitor 
WebOTX Application Server Express 10.1 から 11.1
WebOTX Application Server Standard 10.1 から 11.1
WebOTX Application Server Standard Extended Option 11.1
WebSAM IT Process Management 
日立
Hitachi Tuning Manager 
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
7 [2023年10月04日]
  ベンダ情報:日立 (hitachi-sec-2023-141) を追加
2023年10月4日13:33
4 [2023年06月14日]
  ベンダ情報:日立(hitachi-sec-2023-121) を追加
2023年6月14日11:20
5 [2023年07月20日]
  ベンダ情報:日立 (hitachi-sec-2023-127) を追加
2023年7月20日11:27
6 [2023年09月05日]
  影響を受けるシステム:ベンダ情報 (NV23-005) の更新に伴い内容を更新
2023年9月5日16:31
3 [2023年05月25日]
  概要:内容を更新
  影響を受けるシステム:内容を更新
  対策:内容を更新
  ベンダ情報:内容を変更
  共通脆弱性識別子(CVE):CVE-2023-28709 を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2023-28709) を追加
2023年5月25日16:52
1 [2023年02月22日]
  掲載
2023年2月22日12:02
2 [2023年04月25日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日本電気 (NV23-005) を追加
2023年4月25日16:03
8 [2023年11月20日]
  影響を受けるシステム:ベンダ情報 (NV23-005) の更新に伴い内容を更新
2023年11月20日13:33
9 [2024年01月16日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (hitachi-sec-2024-102) を追加
2024年1月17日10:38

NVD脆弱性情報
CVE-2023-24998
概要

Apache Commons FileUpload before 1.5 does not limit the number of request parts to be processed resulting in the possibility of an attacker triggering a DoS with a malicious upload or series of uploads.

Note that, like all of the file upload limits, the
new configuration option (FileUploadBase#setFileCountMax) is not
enabled by default and must be explicitly configured.

公表日 2023年2月21日1:15
登録日 2023年2月21日10:00
最終更新日 2024年11月21日16:48
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:commons_fileupload:*:*:*:*:*:*:*:* 1.0 1.5
cpe:2.3:a:apache:commons_fileupload:1.0:beta:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧
CVE-2023-28709
概要

The fix for CVE-2023-24998 was incomplete for Apache Tomcat 11.0.0-M2 to 11.0.0-M4, 10.1.5 to 10.1.7, 9.0.71 to 9.0.73 and 8.5.85 to 8.5.87. If non-default HTTP connector settings were used such that the maxParameterCount could be reached using query string parameters and a request was submitted that supplied exactly maxParameterCount parameters in the query string, the limit for uploaded request parts could be bypassed with the potential for a denial of service to occur.

公表日 2023年5月22日20:15
登録日 2023年5月23日10:00
最終更新日 2024年11月21日16:55
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:tomcat:11.0.0:milestone2:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone4:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone3:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 10.1.5 10.1.7
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 9.0.71 9.0.73
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 8.5.85 8.5.87
構成2 以上 以下 より上 未満
cpe:2.3:o:debian:debian_linux:12.0:*:*:*:*:*:*:*
構成3 以上 以下 より上 未満
cpe:2.3:a:netapp:7-mode_transition_tool:-:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧