JVNDB-2014-000017

Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性

Apache Commons FileUpload には、サービス運用妨害 (DoS) の脆弱性が存在します。

Apache Software Foundation が提供する Apache Commons FileUpload には、マルチパートリクエストの処理に問題があり、当該処理が無限ループになる脆弱性が存在します。

[2014年2月12日 - 追記]
JPCERT/CC では、攻撃ツールが公開されていることを確認しています。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: Hitachi Incident Response Team (HIRT)

Apache Software Foundation

• Apache Tomcat 8.0.0-RC1 から 8.0.1 まで
• Apache Tomcat 7.0.0 から 7.0.50 まで
• Commons FileUpload 1.0 から 1.3 まで
• Commons FileUpload に依存するその他の Apache 製品

オラクル

• Application Express 4.2.6 未満
• Oracle Fusion Middleware の Oracle Enterprise Data Quality 8.1.2
• Oracle Fusion Middleware の Oracle Enterprise Data Quality 9.0.11
• Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 2.2.2
• Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 2.3
• Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 2.4
• Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 3.0
• Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 3.1
• Oracle Fusion Middleware の Oracle JDeveloper 10.1.3.5
• Oracle Fusion Middleware の Oracle JDeveloper 11.1.1.7
• Oracle Fusion Middleware の Oracle JDeveloper 11.1.2.4
• Oracle Fusion Middleware の Oracle JDeveloper 12.1.2.0
• Oracle Fusion Middleware の Oracle JDeveloper 12.1.3.0
• Oracle Health Sciences Applications の Oracle Health Sciences Empirica Inspections 1.0.1.0 およびそれ以前
• Oracle Health Sciences Applications の Oracle Health Sciences Empirica Signal 7.3.3.3 およびそれ以前
• Oracle Health Sciences Applications の Oracle Health Sciences Empirica Study 3.1.2.0 およびそれ以前

Apache Tomcat によると、Apache Tomcat 6 およびそれ以前は、本脆弱性の影響を受けないとのことです。

なお、Apache Commons FileUpload は、Apache が提供する複数の製品に使用されている可能性があるため、Apache Tomcat 以外の製品でも、本脆弱性の影響を受ける可能性があります。
Apache から提供された情報によると、FileUpload を使用する以下の製品も本脆弱性の影響を受ける可能性があるとのことです。
　* Jenkins
　* JSPWiki
　* JXP
　* Lucene-Solr
　* onemind-commons
　* Spring
　* Stapler
　* Struts 1, 2
　* WSDL2c

細工されたリクエストを処理すると、対象のシステムを応答不能な状態にされる可能性があります。

[アップデートする]
本脆弱性を修正した各製品のアップデートが公開されました。
開発者の提供する情報をもとに、最新版にアップデートしてください。

　* Apache Commons FileUpload 1.3.1
　　http://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

　* Apache Tomcat 8.0.3
　　http://www.apache.org/dist/tomcat/tomcat-8/v8.0.3/

　* Apache Tomcat 7.0.52
　　http://www.apache.org/dist/tomcat/tomcat-7/v7.0.52/

　* Apache Struts 2.3.16.1
　　http://struts.apache.org/download.cgi#struts23161

[パッチを適用する]
開発者のリポジトリでは、本脆弱性の修正コードが公開されています。

　* Apache Commons FileUpload: http://svn.apache.org/r1565143
　* Apache Tomcat 8: http://svn.apache.org/r1565163
　* Apache Tomcat 7: http://svn.apache.org/r1565169

[ワークアラウンドを実施する]
以下の回避策を実施することで、本脆弱性の影響を軽減することが可能です。

　* Content-Type ヘッダのサイズを 4091 バイト未満に制限する

詳しくは、開発者が提供する情報をご確認ください。

Apache Software Foundation

• Apache Software Foundation : www-announce mailing list archives -- CVE-2014-0050 Apache Commons FileUpload and Apache Tomcat DoS
• Apache Software Foundation : Download Apache Commons FileUpload -- Apache Commons FileUpload 1.3.1
• Apache Struts : Struts 2.3.16.1
• Apache Struts Announcements : 21 February 2014 - Immediately upgrade commons-fileupload to version 1.3.1
• Apache Tomcat : Fixed in Apache Tomcat 8.0.2
• Apache Tomcat : Fixed in Apache Tomcat 7.0.51
• Apache Tomcat : Apache Tomcat 8.0.3
• Apache Tomcat : Apache Tomcat 7.0.52
• Apache-SVN : Apache Commons FileUpload 1.3.1 RELEASE NOTES
• Apache-SVN : [Apache-SVN] Revision 1565143

Huawei

• Security Advisory : Huawei-SA-20140707-01-Struts2

IBM

• IBM Support Document : 1677724
• IBM Support Document : 1676853
• IBM Support Document : 1676656
• IBM Support Document : 1676410
• IBM Support Document : 1676405
• IBM Support Document : 1676403
• IBM Support Document : 1676401
• IBM Support Document : 1675432
• IBM Support Document : 1681214
• IBM Support Document : 1677691
• IBM Support Document : 1669554
• IBM Support Document : 1676091
• IBM Support Document : 1676092

VMware

• VMware Security Advisories : VMSA-2014-0007

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2014
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2014
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - October 2014 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - April 2015
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2016
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices
• SECURITY BLOG : October 2014 Critical Patch Update Released
• SECURITY BLOG : January 2015 Critical Patch Update Released
• SECURITY BLOG : April 2015 Critical Patch Update Released
• SECURITY BLOG : October 2015 Critical Patch Update Released
• SECURITY BLOG : January 2016 Critical Patch Update Released
• SECURITY BLOG : October 2016 Critical Patch Update Released

レッドハット

• Red Hat Bugzilla : Bug 1062337
• Red Hat Security Advisory : RHSA-2014:0400

日本電気

• NEC製品セキュリティ情報 : NV15-004

日立

• Hitachi Software Vulnerability Information : HS14-008
• Hitachi Software Vulnerability Information : HS14-015
• Hitachi Software Vulnerability Information : HS14-016
• Hitachi Software Vulnerability Information : HS14-017
• ソフトウェア製品セキュリティ情報 : HS14-008
• ソフトウェア製品セキュリティ情報 : HS14-015
• ソフトウェア製品セキュリティ情報 : HS14-016
• ソフトウェア製品セキュリティ情報 : HS14-017

富士通

• 富士通 セキュリティ情報 : Interstage Application Server: Java EE 6におけるサービス運用妨害(DoS)の脆弱性(CVE-2014-0050)

1. 不適切な入力確認(CWE-20) [IPA評価]

1. CVE-2014-0050

1. JVN : JVN#14876762
2. National Vulnerability Database (NVD) : CVE-2014-0050
3. JPCERT 緊急報告 : Apache Commons FileUpload および Apache Tomcat の脆弱性に関する注意喚起
4. 関連文書 : MGASA-2014-0110

• [2014年02月10日]
    掲載
  [2014年02月13日]
    概要：内容を更新
    対策：内容を更新
    ベンダ情報：Apache Software Foundation (Apache Tomcat 8.0.3) を追加 
  [2014年02月21日]
    対策：内容を更新
    ベンダ情報：Apache Software Foundation (Apache Tomcat 7.0.52) を追加
  [2014年02月24日]
    ベンダ情報：Apache Software Foundation (21 February 2014 - Immediately upgrade commons-fileupload to version 1.3.1) を追加
  [2014年03月10日]
    対策：内容を更新
    ベンダ情報：Apache Software Foundation (Struts 2.3.16.1) を追加
  [2014年03月28日]
    ベンダ情報：富士通 (Interstage Application Server: Java EE 6におけるサービス運用妨害(DoS)の脆弱性(CVE-2014-0050)) を追加
  [2014年03月31日]
    ベンダ情報：日立 (HS14-008) を追加
  [2014年04月02日]
    参考情報：National Vulnerability Database (NVD) (CVE-2014-0050) を追加
  [2014年05月13日]
    ベンダ情報：レッドハット (RHSA-2014:0400) を追加
  [2014年07月01日]
    ベンダ情報：VMware (VMSA-2014-0007) を追加
    ベンダ情報：日立 (HS14-015) を追加
    ベンダ情報：日立 (HS14-016) を追加
    ベンダ情報：日立 (HS14-017) を追加
  [2014年07月25日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：Huawei (Huawei-SA-20140707-01-Struts2) を追加
    ベンダ情報：IBM (1677724) を追加
    ベンダ情報：IBM (1676853) を追加
    ベンダ情報：IBM (1676656) を追加
    ベンダ情報：IBM (1676410) を追加
    ベンダ情報：IBM (1676405) を追加
    ベンダ情報：IBM (1676403) を追加
    ベンダ情報：IBM (1676401) を追加
    ベンダ情報：IBM (1675432) を追加
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices) を追加
    ベンダ情報：レッドハット (Bug 1062337) を追加
  [2014年09月09日]
    ベンダ情報：IBM (1677691) を追加
    ベンダ情報：IBM (1681214) を追加
  [2014年10月21日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2014) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2014 Risk Matrices) を追加
    ベンダ情報：オラクル (October 2014 Critical Patch Update Released) を追加
  [2015年01月30日]
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (January 2015 Critical Patch Update Released) を追加
  [2015年04月20日]
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (April 2015 Critical Patch Update Released) を追加
  [2015年05月11日]
    参考情報：関連文書 (MGASA-2014-0110) を追加
  [2015年06月08日]
    ベンダ情報：日本電気 (NV15-004) を追加
  [2015年06月26日]
    ベンダ情報：IBM (1676091) を追加
    ベンダ情報：IBM (1676092) を追加
    ベンダ情報：IBM (1669554) を追加
  [2015年10月22日]
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (October 2015 Critical Patch Update Released) を追加
  [2016年01月28日]
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加
    ベンダ情報：オラクル (January 2016 Critical Patch Update Released) を追加
  [2016年11月22日]
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2016) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices) を追加
    ベンダ情報：オラクル (October 2016 Critical Patch Update Released) を追加