【活用ガイド】

[English]

JVNDB-2014-000017

Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性

概要

Apache Commons FileUpload には、サービス運用妨害 (DoS) の脆弱性が存在します。

Apache Software Foundation が提供する Apache Commons FileUpload には、マルチパートリクエストの処理に問題があり、当該処理が無限ループになる脆弱性が存在します。

[2014年2月12日 - 追記]
JPCERT/CC では、攻撃ツールが公開されていることを確認しています。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: Hitachi Incident Response Team (HIRT)

CVSS による深刻度 (CVSS とは?)

基本値: 5.0 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 部分的

影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat 8.0.0-RC1 から 8.0.1 まで
  • Apache Tomcat 7.0.0 から 7.0.50 まで
  • Commons FileUpload 1.0 から 1.3 まで
  • Commons FileUpload に依存するその他の Apache 製品
オラクル
  • Application Express 4.2.6 未満
  • Oracle Fusion Middleware の Oracle Enterprise Data Quality 8.1.2
  • Oracle Fusion Middleware の Oracle Enterprise Data Quality 9.0.11
  • Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 2.2.2
  • Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 2.3
  • Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 2.4
  • Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 3.0
  • Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 3.1
  • Oracle Fusion Middleware の Oracle JDeveloper 10.1.3.5
  • Oracle Fusion Middleware の Oracle JDeveloper 11.1.1.7
  • Oracle Fusion Middleware の Oracle JDeveloper 11.1.2.4
  • Oracle Fusion Middleware の Oracle JDeveloper 12.1.2.0
  • Oracle Fusion Middleware の Oracle JDeveloper 12.1.3.0
  • Oracle Health Sciences Applications の Oracle Health Sciences Empirica Inspections 1.0.1.0 およびそれ以前
  • Oracle Health Sciences Applications の Oracle Health Sciences Empirica Signal 7.3.3.3 およびそれ以前
  • Oracle Health Sciences Applications の Oracle Health Sciences Empirica Study 3.1.2.0 およびそれ以前

Apache Tomcat によると、Apache Tomcat 6 およびそれ以前は、本脆弱性の影響を受けないとのことです。

なお、Apache Commons FileUpload は、Apache が提供する複数の製品に使用されている可能性があるため、Apache Tomcat 以外の製品でも、本脆弱性の影響を受ける可能性があります。
Apache から提供された情報によると、FileUpload を使用する以下の製品も本脆弱性の影響を受ける可能性があるとのことです。
 * Jenkins
 * JSPWiki
 * JXP
 * Lucene-Solr
 * onemind-commons
 * Spring
 * Stapler
 * Struts 1, 2
 * WSDL2c
想定される影響

細工されたリクエストを処理すると、対象のシステムを応答不能な状態にされる可能性があります。
対策

[アップデートする]
本脆弱性を修正した各製品のアップデートが公開されました。
開発者の提供する情報をもとに、最新版にアップデートしてください。

 * Apache Commons FileUpload 1.3.1
  http://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

 * Apache Tomcat 8.0.3
  http://www.apache.org/dist/tomcat/tomcat-8/v8.0.3/

 * Apache Tomcat 7.0.52
  http://www.apache.org/dist/tomcat/tomcat-7/v7.0.52/

 * Apache Struts 2.3.16.1
  http://struts.apache.org/download.cgi#struts23161

[パッチを適用する]
開発者のリポジトリでは、本脆弱性の修正コードが公開されています。

 * Apache Commons FileUpload: http://svn.apache.org/r1565143
 * Apache Tomcat 8: http://svn.apache.org/r1565163
 * Apache Tomcat 7: http://svn.apache.org/r1565169

[ワークアラウンドを実施する]
以下の回避策を実施することで、本脆弱性の影響を軽減することが可能です。

 * Content-Type ヘッダのサイズを 4091 バイト未満に制限する

詳しくは、開発者が提供する情報をご確認ください。
ベンダ情報

Apache Software Foundation Huawei IBM VMware オラクル レッドハット 日本電気
  • NEC製品セキュリティ情報 : NV15-004
日立
  • Hitachi Software Vulnerability Information : HS14-008
  • Hitachi Software Vulnerability Information : HS14-015
  • Hitachi Software Vulnerability Information : HS14-016
  • Hitachi Software Vulnerability Information : HS14-017
  • ソフトウェア製品セキュリティ情報 : HS14-008
  • ソフトウェア製品セキュリティ情報 : HS14-015
  • ソフトウェア製品セキュリティ情報 : HS14-016
  • ソフトウェア製品セキュリティ情報 : HS14-017
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な入力確認(CWE-20) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-0050
参考情報

  1. JVN : JVN#14876762
  2. National Vulnerability Database (NVD) : CVE-2014-0050
  3. JPCERT 緊急報告 : Apache Commons FileUpload および Apache Tomcat の脆弱性に関する注意喚起
  4. 関連文書 : MGASA-2014-0110
更新履歴

[2014年02月10日]
  掲載
[2014年02月13日]
  概要:内容を更新
  対策:内容を更新
  ベンダ情報:Apache Software Foundation (Apache Tomcat 8.0.3) を追加 
[2014年02月21日]
  対策:内容を更新
  ベンダ情報:Apache Software Foundation (Apache Tomcat 7.0.52) を追加
[2014年02月24日]
  ベンダ情報:Apache Software Foundation (21 February 2014 - Immediately upgrade commons-fileupload to version 1.3.1) を追加
[2014年03月10日]
  対策:内容を更新
  ベンダ情報:Apache Software Foundation (Struts 2.3.16.1) を追加
[2014年03月28日]
  ベンダ情報:富士通 (Interstage Application Server: Java EE 6におけるサービス運用妨害(DoS)の脆弱性(CVE-2014-0050)) を追加
[2014年03月31日]
  ベンダ情報:日立 (HS14-008) を追加
[2014年04月02日]
  参考情報:National Vulnerability Database (NVD) (CVE-2014-0050) を追加
[2014年05月13日]
  ベンダ情報:レッドハット (RHSA-2014:0400) を追加
[2014年07月01日]
  ベンダ情報:VMware (VMSA-2014-0007) を追加
  ベンダ情報:日立 (HS14-015) を追加
  ベンダ情報:日立 (HS14-016) を追加
  ベンダ情報:日立 (HS14-017) を追加
[2014年07月25日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:Huawei (Huawei-SA-20140707-01-Struts2) を追加
  ベンダ情報:IBM (1677724) を追加
  ベンダ情報:IBM (1676853) を追加
  ベンダ情報:IBM (1676656) を追加
  ベンダ情報:IBM (1676410) を追加
  ベンダ情報:IBM (1676405) を追加
  ベンダ情報:IBM (1676403) を追加
  ベンダ情報:IBM (1676401) を追加
  ベンダ情報:IBM (1675432) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices) を追加
  ベンダ情報:レッドハット (Bug 1062337) を追加
[2014年09月09日]
  ベンダ情報:IBM (1677691) を追加
  ベンダ情報:IBM (1681214) を追加
[2014年10月21日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2014) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2014 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2014 Critical Patch Update Released) を追加
[2015年01月30日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
[2015年04月20日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (April 2015 Critical Patch Update Released) を追加
[2015年05月11日]
  参考情報:関連文書 (MGASA-2014-0110) を追加
[2015年06月08日]
  ベンダ情報:日本電気 (NV15-004) を追加
[2015年06月26日]
  ベンダ情報:IBM (1676091) を追加
  ベンダ情報:IBM (1676092) を追加
  ベンダ情報:IBM (1669554) を追加
[2015年10月22日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2015 Critical Patch Update Released) を追加
[2016年01月28日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2016 Critical Patch Update Released) を追加