近日,安全狗應急響應中心關注到Apache官方釋出安全公告,披露在Apache Commons FileUpload<1.5版本中存在一處拒絕服務漏洞(CVE-2023-24998)。Commons FileUpload是Apache組織提供的免費的上傳元件。由于Apache Commons FileUpload對請求部分要處理的數量未做限制,導緻攻擊者可以利用此漏洞惡意上傳或一系列上傳觸發拒絕服務。
漏洞描述
Apache Commons FileUpload 是一個向 servlet 和 Web 應用程式提供檔案上傳功能的開源元件。1.5 之前版本中,由于 Apache Commons FileUpload 在處理使用者的檔案上傳請求時未對檔案數量進行限制,攻擊者可通過上傳大量檔案造成拒絕服務。1.5 版本中使用者可通過配置 FileUploadBase#setFileCountMax 限制使用者檔案上傳數量(預設不啟用,需手動配置)。
Apache Tomcat由于使用Apache Commons FileUpload的打包重命名副本來提供Jakarta Servlet規範中定義的檔案上傳功能。是以,Apache Tomcat也受到CVE-2023-24998影響。Apache Commons FileUpload滿足:使用到受影響版本的Commons-FileUpload包且在業務場景中調用org.apache.commons.fileupload的地方或者對commons-fileupload有二次封裝的場景是否從業務層面對上傳檔案數量和大小進行驗證和限制,如果沒有,則受到該漏洞影響。
Apache Tomcat滿足:使用的tomcat是受影響的版本;在有調用org.apache.tomcat.util.http.fileupload函數的接口或函數是否從業務層面對上傳檔案數量和大小進行驗證和限制,如果沒有,則受到該漏洞影響。
安全通告資訊
| 漏洞名稱 | Apache Commons FileUpload拒絕服務漏洞 |
| 漏洞影響版本 | Apache Commons FileUpload<1.5 |
| 漏洞危害等級 | 高危 |
| 廠商是否已釋出漏洞更新檔 | 是 |
| 版本更新位址 | https://tomcat.apache.org/index.html |
| 安全狗總預警期數 | 261 |
| 安全狗釋出預警日期 | 2023年02月23日 |
| 安全狗更新預警日期 | 2023年02月23日 |
| 釋出者 | 安全狗海青實驗室 |
安全建議
目前,官方已釋出新版本修複了該漏洞,請受影響的使用者更新到安全版本
參考連結
https://tomcat.apache.org/security-10.html
https://commons.apache.org/proper/commons-fileupload/security-reports.html
![搭建httpd服務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)