Apache Commons FileUploadにDoS脆弱性
IPA から Apache commons FileUpload のDoS脆弱性についての情報が公開されました。
JVN#89379547: Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性
影響は以下の通りです。
- Commons FileUpload 1.3 から 1.3.1 まで
- Commons FileUpload 1.2 から 1.2.2 まで
- Tomcat 9.0.0.M1 から 9.0.0M6 まで
- Tomcat 8.5.0 から 8.5.2 まで
- Tomcat 8.0.0.RC1 から 8.0.35 まで
- Tomcat 7.0.0 から 7.0.69 まで
- Struts 2.5.1 およびそれ以前
上記に加え、現在ではもうサポート対象となっていない 1.0.x および 1.1.x も影響範囲とのことですので、すべてのバージョンが対象と思ってよさそうです。
ちなみに具体的な攻撃方法については何も記載がなく、マルチパートリクエスト処理の中に問題があるとのことです。
近年人気の Spring でも利用しているライブラリですので、影響する場合はアップデートしておきましょう。
Apache Httpd および Apache Tomcat は、それぞれ LimitRequestFileSize および maxHttpHeaderSize の設定により、HTTP リクエストヘッダの大きさを制限することが可能です。また、上限を 2048 バイトに設定することで本脆弱性の影響を受けないとしています。
とのことなので、HTTPヘッダーサイズを2048バイトに制限することでも回避することは可能みたいですね。アップデートするのが一番安全ではありますが、簡単に上げられないという方は設定変更で回避しましょう。