【活用ガイド】

JVNDB-2023-001220

Apache Tomcat の Apache Commons FileUpload におけるサービス運用妨害(DoS)の脆弱性

概要

Apache Commons FileUpload 1.5 より前のバージョンでは1リクエストでアップロード可能なファイル数を制限していないため、サービス運用妨害(DoS)の脆弱性(CVE-2023-24998、CVE-2023-28709)が存在します。
Apache Tomcatのファイルアップロード機能には Apache Commons FileUpload パッケージのコピーが採用されており、同様にファイル数制限がないため、本脆弱性の影響を受ける可能性があります。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.5 (重要) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 高
影響を受けるシステム

【2023 年 5 月 25 日 追記】
CVE-2023-24998 に対する修正が不十分であったとの情報が開発者より公開され、新たに CVE-2023-28709 が採番されました。

Apache Software Foundation
  • Apache Tomcat 10.1.0-M1 から 10.1.4 までのバージョン (CVE-2023-24998)
  • Apache Tomcat 9.0.0-M1 から 9.0.70 までのバージョン (CVE-2023-24998)
  • Apache Tomcat 8.5.0 から 8.5.84 までのバージョン (CVE-2023-24998)
  • Apache Tomcat 11.0.0-M1 (CVE-2023-24998)
  • Apache Tomcat 10.1.5 から 10.1.7 までのバージョン (CVE-2023-28709)
  • Apache Tomcat 11.0.0-M2 から 11.0.0-M4 までのバージョン (CVE-2023-28709)
  • Apache Tomcat 8.5.85 から 8.5.87 までのバージョン (CVE-2023-28709)
  • Apache Tomcat 9.0.71 から 9.0.73 までのバージョン (CVE-2023-28709)
  • Commons FileUpload 1.5 未満
日本電気
  • ActSecure ポータル
  • CONNEXIVE PF
  • EnterpriseIdentityManager 8.2 から 8.7
  • ESMPRO/ServerManager
  • NEC Advanced Analytics Platform Modeler
  • NEC Information Assessment System
  • NEC 自動応答
  • NeoFace Monitor
  • WebOTX Application Server Express 10.1 から 11.1
  • WebOTX Application Server Standard 10.1 から 11.1
  • WebOTX Application Server Standard Extended Option 11.1
  • WebSAM IT Process Management
日立
  • Hitachi Tuning Manager
  • Job Management Partner 1/IT Desktop Management - Manager
  • Job Management Partner 1/IT Desktop Management 2 - Manager
  • JP1/IT Desktop Management - Manager
  • JP1/IT Desktop Management 2 - Manager
  • JP1/IT Desktop Management 2 - Operations Director
  • JP1/IT Desktop Management 2 - Smart Device Manager
  • JP1/Performance Management - Manager
  • JP1/Performance Management - Web Console

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
想定される影響

第三者によって、悪意のあるアップロードが行われ、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されているとのことです。

 * Apache Tomcat 11.0.0-M5 およびそれ以降のバージョン
 * Apache Tomcat 10.1.8 およびそれ以降のバージョン
 * Apache Tomcat Apache Tomcat 9.0.74 およびそれ以降のバージョン
 * Apache Tomcat 8.5.88 およびそれ以降のバージョン

【2023/4/6 追記】
Apache Commons FileUpload 1.5 およびそれ以降のバージョンにおいては、1リクエストでアップロード可能なファイル数を設定可能とするオプションが追加されました。ただし、当該設定はデフォルトでは無効であり、利用者側で明示的に設定を追加する必要があります。
なお、Apache Tomcat においては当該設定にデフォルトで特定の値が指定されています。
ベンダ情報

Apache Software Foundation 日本電気
  • NEC製品セキュリティ情報 : NV23-005
日立
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 境界条件の判定(CWE-193) [その他]
  2. 制限またはスロットリング無しのリソースの割り当て(CWE-770) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2023-24998
  2. CVE-2023-28709
参考情報

  1. JVN : JVNVU#91253151
  2. JVN : JVNVU#91198149
  3. National Vulnerability Database (NVD) : CVE-2023-24998
  4. National Vulnerability Database (NVD) : CVE-2023-28709
  5. ICS-CERT ADVISORY : ICSA-24-046-15
更新履歴

  • [2023年02月22日]
      掲載
  • [2023年04月25日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日本電気 (NV23-005) を追加
  • [2023年05月25日]
      概要:内容を更新
      影響を受けるシステム:内容を更新
      対策:内容を更新
      ベンダ情報:内容を変更
      共通脆弱性識別子(CVE):CVE-2023-28709 を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-28709) を追加
  • [2023年06月14日]
      ベンダ情報:日立(hitachi-sec-2023-121) を追加
  • [2023年07月20日]
      ベンダ情報:日立 (hitachi-sec-2023-127) を追加
  • [2023年09月05日]
      影響を受けるシステム:ベンダ情報 (NV23-005) の更新に伴い内容を更新
  • [2023年10月04日]
      ベンダ情報:日立 (hitachi-sec-2023-141) を追加
  • [2023年11月20日]
      影響を受けるシステム:ベンダ情報 (NV23-005) の更新に伴い内容を更新
  • [2024年01月16日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日立 (hitachi-sec-2024-102) を追加
  • [2024年02月20日]
      参考情報:JVN (JVNVU#91198149) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-24-046-15) を追加
  • [2024年02月27日]
      影響を受けるシステム:ベンダ情報 (NV23-005) の更新に伴い内容を更新
  • [2024年04月16日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日立 (hitachi-sec-2024-119) を追加
  • [2024年05月29日]
      CVSS による深刻度:内容を更新
      CWE による脆弱性タイプ一覧:内容を更新