(JVN#14876762, JVNDB-2014-000017, CVE-2014-0050)
更新日:2014年02月19日
広く影響を与えると思われる脆弱性については、情報セキュリティ早期警戒パートナーシップ制度を活用して、JVN(Japan Vulnerability Notes) から公開する脆弱性ハンドリングを推進しています。
Apache Commons FileUpload には、HTTP 要求を解析する処理に、サービス運用妨害(DoS)攻撃を許してしまう脆弱性 (JVN#14876762, JVNDB-2014-000017, CVE-2014-0050) が存在します。
基本値:5.0
攻撃元区分:ネットワーク
攻撃条件の複雑さ:低
攻撃前の認証要否:不要
機密性への影響(C):なし
完全性への影響(I):なし
可用性への影響(A):部分的
現状値:3.9 (2014年2月12日時点)
攻撃される可能性:実証可能
利用可能な対策のレベル:正式対策
脆弱性情報の信頼性:開発者が情報を確認済
+ Apache Commons FileUpload 1.0 〜 1.3
+ Apache Tomcat 8.0.0-RC1 〜 8.0.1
+ Apache Tomcat 7.0.0 〜 7.0.50
+ コンポーネントとして Commons FileUpload を使用している製品
Apache Tomcat 7 と Apache Tomcat 8 では、マルチーパート形式のデータを処理するために、Apache Commons FileUpload をコンポーネントとして使用しています。 なお、Apache Tomcat 6 では、認証されたユーザのみが使用できる管理アプリケーションの一部で、Apache Commons FileUpload をコンポーネントとして使用しているため、脆弱性の影響は限定的です。
不正な Content-Type を含むマルチーパート形式のデータを処理すると、Apache Commons FileUpload が無限ループに入るために、サービス運用妨害 (DoS) の状態に陥る可能性があります。
Apache Software Foundation からリリースされた修正バージョンにアップデートしてください。
本脆弱性の対応経緯においては、製品開発者が、対策版検討中に、脆弱性関連情報メールをオープンなエリアに流してしまうというアクシデントがありました [*1]。 このため、製品開発者側で、急遽、アドバイザリを作成し、発信するという対応がなされました [*2]。 HIRT では、発見ならびに届出関係者への状況説明と並行して、JVN からの脆弱性情報公開について、調整機関(JPCERT/CC)、受付機関(IPA) と協議し、調整しました。
2013年11月21日:Apache Commons FileUpload の脆弱性を確認
2013年12月02日:情報セキュリティ早期警戒パートナーシップ (図1) に報告
2013年12月04日:IPA から再現環境、問題発生箇所についての問合せを受信
2013年12月06日:再現環境に関する情報を返信
2013年12月09日:問題発生箇所に関する情報を返信
2013年12月25日:IPA から届出情報受理を受信
2014年01月09日:IPA から起算日に関する通知を受信 [**]
2014年02月06日 01:45+00:00:org.apache.commons.dev への投稿 [*1]
2014年02月06日 11:37+00:00:Apache Software Foundation からアドバイザリ発信 [*2]
2014年02月07日:調整機関(JPCERT/CC)、受付機関(IPA) との調整
2014年02月10日:脆弱性情報の JVN 掲載 [*3]
図1:情報セキュリティ早期警戒パートナーシップ
担当:寺田、沼田、大西/HIRT
グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています
