Hitachi Global

HIRT-PUB14003：Apache Commons FileUpload におけるサービス運用妨害(DoS)の脆弱性

(JVN#14876762, JVNDB-2014-000017, CVE-2014-0050)

更新日：2014年02月19日

English

広く影響を与えると思われる脆弱性については、情報セキュリティ早期警戒パートナーシップ制度を活用して、JVN(Japan Vulnerability Notes) から公開する脆弱性ハンドリングを推進しています。

JVN (Japan Vulnerability Notes) への脆弱性報告

1. 概要

Apache Commons FileUpload には、HTTP 要求を解析する処理に、サービス運用妨害(DoS)攻撃を許してしまう脆弱性 (JVN#14876762, JVNDB-2014-000017, CVE-2014-0050) が存在します。

CVSSによる深刻度

基本値：5.0

攻撃元区分：ネットワーク

攻撃条件の複雑さ：低

攻撃前の認証要否：不要

機密性への影響(C)：なし

完全性への影響(I)：なし

可用性への影響(A)：部分的

現状値：3.9 (2014年2月12日時点)

攻撃される可能性：実証可能

利用可能な対策のレベル：正式対策

脆弱性情報の信頼性：開発者が情報を確認済

CVSS:2.0 AV:N/AC:L/Au:N/C:N/I:N/A:P/E:POC/RL:OF/RC:C

2. 影響を受けるシステム

+ Apache Commons FileUpload 1.0 ～ 1.3
+ Apache Tomcat 8.0.0-RC1 ～ 8.0.1
+ Apache Tomcat 7.0.0 ～ 7.0.50
+ コンポーネントとして Commons FileUpload を使用している製品

Apache Tomcat 7 と Apache Tomcat 8 では、マルチーパート形式のデータを処理するために、Apache Commons FileUpload をコンポーネントとして使用しています。なお、Apache Tomcat 6 では、認証されたユーザのみが使用できる管理アプリケーションの一部で、Apache Commons FileUpload をコンポーネントとして使用しているため、脆弱性の影響は限定的です。

page top

3. 想定される影響

不正な Content-Type を含むマルチーパート形式のデータを処理すると、Apache Commons FileUpload が無限ループに入るために、サービス運用妨害 (DoS) の状態に陥る可能性があります。

4. 対策

Apache Software Foundation からリリースされた修正バージョンにアップデートしてください。

CVE-2014-0050 Apache Commons FileUpload and Apache Tomcat DoS
http://mail-archives.us.apache.org/mod_mbox/www-announce/201402.mbox/%3C52F373FC.9030907@apache.org%3E

FileUpload - Release Notes
http://commons.apache.org/proper/commons-fileupload/changes-report.html#a1.3.1

Apache Tomcat 7 vulnerabilities
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.51

Apache Tomcat 8 vulnerabilities
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.2

5. 対応経緯

本脆弱性の対応経緯においては、製品開発者が、対策版検討中に、脆弱性関連情報メールをオープンなエリアに流してしまうというアクシデントがありました [*1]。このため、製品開発者側で、急遽、アドバイザリを作成し、発信するという対応がなされました [*2]。 HIRT では、発見ならびに届出関係者への状況説明と並行して、JVN からの脆弱性情報公開について、調整機関(JPCERT/CC)、受付機関(IPA) と協議し、調整しました。

2013年11月21日：Apache Commons FileUpload の脆弱性を確認
2013年12月02日：情報セキュリティ早期警戒パートナーシップ (図1) に報告
2013年12月04日：IPA から再現環境、問題発生箇所についての問合せを受信
2013年12月06日：再現環境に関する情報を返信
2013年12月09日：問題発生箇所に関する情報を返信
2013年12月25日：IPA から届出情報受理を受信
2014年01月09日：IPA から起算日に関する通知を受信 [**]
2014年02月06日 01:45+00:00：org.apache.commons.dev への投稿 [*1]
2014年02月06日 11:37+00:00：Apache Software Foundation からアドバイザリ発信 [*2]
2014年02月07日：調整機関(JPCERT/CC)、受付機関(IPA) との調整
2014年02月10日：脆弱性情報の JVN 掲載 [*3]

*1): Subject: Re: ***UNCHECKED*** Re: VN: JVN#14876762 / TN: JPCERT#90213603; http://markmail.org/message/kpfl7ax4el2owb3o
http://markmail.org/message/sbojy5cn74f2ty32
*2): CVE-2014-0050 Apache Commons FileUpload and Apache Tomcat DoS; http://mail-archives.us.apache.org/mod_mbox/www-announce/201402.mbox/%3C52F373FC.9030907@apache.org%3E
*3): JVN#14876762 Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性; https://jvn.jp/jp/JVN14876762/
**): 起算日とは、情報セキュリティ早期警戒パートナーシップに発見した報告を取り下げて、発見者が情報開示の必要性を客観的に判断し、第三者に開示できる期日に関するものです。報告した脆弱性対策が一定期間以上たっても進捗しない場合の対処策として利用されています。

Apache Commons FileUpload の件につきまして、2014 年 1 月 9 日(起算日)に製品開発者との調整機関である JPCERT/CC から製品開発者へ連絡を開始いたしましたので、ご連絡します。
なお、起算日から 1 年間以上経過した届出については、発見者は IPAに対し、情報非開示依頼の取り下げを求めることができます。(※ 2011 年 4 月 1 日以前の届出の起算日は一律 2011 年 4 月 1 日となります)