JVNDB-2023-001220

Apache Tomcat の Apache Commons FileUpload におけるサービス運用妨害（DoS）の脆弱性

Apache Commons FileUpload 1.5 より前のバージョンでは1リクエストでアップロード可能なファイル数を制限していないため、サービス運用妨害（DoS）の脆弱性（CVE-2023-24998、CVE-2023-28709）が存在します。
Apache Tomcatのファイルアップロード機能には Apache Commons FileUpload パッケージのコピーが採用されており、同様にファイル数制限がないため、本脆弱性の影響を受ける可能性があります。

【2023 年 5 月 25 日 追記】
CVE-2023-24998 に対する修正が不十分であったとの情報が開発者より公開され、新たに CVE-2023-28709 が採番されました。

Apache Software Foundation

• Apache Tomcat 10.1.0-M1 から 10.1.4 までのバージョン (CVE-2023-24998)
• Apache Tomcat 9.0.0-M1 から 9.0.70 までのバージョン (CVE-2023-24998)
• Apache Tomcat 8.5.0 から 8.5.84 までのバージョン (CVE-2023-24998)
• Apache Tomcat 11.0.0-M1 (CVE-2023-24998)
• Apache Tomcat 10.1.5 から 10.1.7 までのバージョン (CVE-2023-28709)
• Apache Tomcat 11.0.0-M2 から 11.0.0-M4 までのバージョン (CVE-2023-28709)
• Apache Tomcat 8.5.85 から 8.5.87 までのバージョン (CVE-2023-28709)
• Apache Tomcat 9.0.71 から 9.0.73 までのバージョン (CVE-2023-28709)
• Commons FileUpload 1.5 未満

日本電気

• NEC Advanced Analytics Platform Modeler
• NeoFace Monitor
• WebOTX Application Server Express 10.1 から 11.1
• WebOTX Application Server Standard 10.1 から 11.1
• WebOTX Application Server Standard Extended Option 11.1

第三者によって、悪意のあるアップロードが行われ、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されているとのことです。

　* Apache Tomcat 11.0.0-M5 およびそれ以降のバージョン
　* Apache Tomcat 10.1.8 およびそれ以降のバージョン
　* Apache Tomcat Apache Tomcat 9.0.74 およびそれ以降のバージョン
　* Apache Tomcat 8.5.88 およびそれ以降のバージョン

【2023/4/6 追記】
Apache Commons FileUpload 1.5 およびそれ以降のバージョンにおいては、1リクエストでアップロード可能なファイル数を設定可能とするオプションが追加されました。ただし、当該設定はデフォルトでは無効であり、利用者側で明示的に設定を追加する必要があります。
なお、Apache Tomcat においては当該設定にデフォルトで特定の値が指定されています。

Apache Software Foundation

• Apache Commons : Fixed in Apache Commons FileUpload 1.5
• Apache Tomcat : Fixed in Apache Tomcat 11.0.0-M5
• Apache Tomcat : Fixed in Apache Tomcat 10.1.8
• Apache Tomcat : Fixed in Apache Tomcat 9.0.74
• Apache Tomcat : Fixed in Apache Tomcat 8.5.88
• Pony Mail : [SECURITY] CVE-2023-24998 Apache Commons FileUpload - DoS with excessive parts

日本電気

• NEC製品セキュリティ情報 : NV23-005

1. CVE-2023-24998
2. CVE-2023-28709

1. JVN : JVNVU#91253151
2. National Vulnerability Database (NVD) : CVE-2023-24998
3. National Vulnerability Database (NVD) : CVE-2023-28709

• [2023年02月22日]
    掲載
• [2023年04月25日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：日本電気 (NV23-005) を追加
• [2023年05月25日]
    概要：内容を更新
    影響を受けるシステム：内容を更新
    対策：内容を更新
    ベンダ情報：内容を変更
    共通脆弱性識別子(CVE)：CVE-2023-28709 を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2023-28709) を追加