読者です 読者をやめる 読者になる 読者になる

らっちゃいブログ

日々の学びと気づきを発信するブログ

Apache Commons FileUploadにDoS脆弱性

スポンサーリンク

IPA から Apache commons FileUpload のDoS脆弱性についての情報が公開されました。

JVN#89379547: Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性

影響は以下の通りです。

  • Commons FileUpload 1.3 から 1.3.1 まで
  • Commons FileUpload 1.2 から 1.2.2 まで
  • Tomcat 9.0.0.M1 から 9.0.0M6 まで
  • Tomcat 8.5.0 から 8.5.2 まで
  • Tomcat 8.0.0.RC1 から 8.0.35 まで
  • Tomcat 7.0.0 から 7.0.69 まで
  • Struts 2.5.1 およびそれ以前

上記に加え、現在ではもうサポート対象となっていない 1.0.x および 1.1.x も影響範囲とのことですので、すべてのバージョンが対象と思ってよさそうです。

ちなみに具体的な攻撃方法については何も記載がなく、マルチパートリクエスト処理の中に問題があるとのことです。

近年人気の Spring でも利用しているライブラリですので、影響する場合はアップデートしておきましょう。

Apache Httpd および Apache Tomcat は、それぞれ LimitRequestFileSize および maxHttpHeaderSize の設定により、HTTP リクエストヘッダの大きさを制限することが可能です。また、上限を 2048 バイトに設定することで本脆弱性の影響を受けないとしています。

とのことなので、HTTPヘッダーサイズを2048バイトに制限することでも回避することは可能みたいですね。アップデートするのが一番安全ではありますが、簡単に上げられないという方は設定変更で回避しましょう。

racchai.hatenablog.com

racchai.hatenablog.com

racchai.hatenablog.com