【重要】 Apache Commons FileUpload- サービス運用妨害 (DoS) の脆弱性

Apache Commons FileUpload には、サービス運用妨害 (DoS) の脆弱性が存在します。

Apache Software Foundation が提供する Apache Commons FileUpload には、マルチパートリクエストの処理に問題があり、当該処理が無限ループになる脆弱性が存在します。


【影響を受けるシステム】

Apache Software Foundation

  • Apache Tomcat 8.0.0-RC1 から 8.0.1 まで
  • Apache Tomcat 7.0.0 から 7.0.50 まで
  • Commons FileUpload 1.0 から 1.3 まで
  • Commons FileUpload に依存するその他の Apache 製品

Apache Tomcat によると、Apache Tomcat 6 およびそれ以前は、本脆弱性の影響を受けないとのことです。

なお、Apache Commons FileUpload は、Apache が提供する複数の製品に使用されている可能性があるため、Apache Tomcat 以外の製品でも、本脆弱性の影響を受ける可能性があります。
Apache から提供された情報によると、FileUpload を使用する以下の製品も本脆弱性の影響を受ける可能性があるとのことです。
* Jenkins
* JSPWiki
* JXP
* Lucene-Solr
* onemind-commons
* Spring
* Stapler
* Struts 1, 2
* WSDL2c


【想定される影響】

細工されたリクエストを処理すると、対象のシステムを応答不能な状態にされる可能性があります。


【対策方法】

本脆弱性を修正した各製品のアップデート、開発者のリポジトリでは、本脆弱性の修正コードが公開されました。
開発者の提供する情報をもとに、最新版にアップデートしてください。

ワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。