Apache Commons FileUpload および Apache Tomcat の脆弱性

JPCERTより、Apache Commons FileUpload および Apache Tomcat の脆弱性の注意喚起が発表されています。

Apache Commons FileUpload および Apache Tomcat にはマルチパートリクエストの処理に脆弱性があります。
結果として、遠隔の第三者は、細工したHTTP リクエストを Web サーバに対して送ることで、サービス運用妨害 (DoS)攻撃を行う可能性があります。脆弱性の詳細については、Apache Software Foundation の情報を確認してください。

Apache Software Foundation によると、対象となる主なソフトウエアとバージョンは以下の通りです。

- Apache Commons FileUpload 1.0 から 1.3
- Apache Tomcat 8.0.0-RC1 から 8.0.1
- Apache Tomcat 7.0.0 から 7.0.50

Apache Commons FileUpload を使用するその他のソフトウエアも影響を受ける可能性があります。

Apache Software Foundation より、本脆弱性を修正した Apache Commons FileUpload が公開されています。十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。

- Apache Commons FileUpload 1.3.1
http://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

Apache Tomcat 7 および 8 については、2014年2月10日現在、修正済みのパージョンは公開されていません。ただし、Apache Software Foundation より、本脆弱性を修正したソースコードが公開されていますので、以下のソースコードをコンパイルしてシステムを構築可能な場合は、適用について検討してください。

対象のバージョンを使用されている方は、早急にテストを実施し、修正済みバージョンを適用することをお勧めいたします。

http://www.jpcert.or.jp/at/2014/at140007.html

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む