Apache Commons FileUpload に、サービス運用妨害 (DoS) の脆弱性が発見されたので、速報ベースで周知します。

様々なOSSで使われていることから影響範囲が広いため注意が必要です。

管理コード

JVN#89379547

CVE-2016-3092

影響を受けるシステム

　　・Commons FileUpload 1.3 から 1.3.1 まで

　　・Commons FileUpload 1.2 から 1.2.2 まで

　　・Tomcat 9.0.0.M1 から 9.0.0M6 まで

　　・Tomcat 8.5.0 から 8.5.2 まで

　　・Tomcat 8.0.0.RC1 から 8.0.35 まで

　　・Tomcat 7.0.0 から 7.0.69 まで

　　・Struts 2.5.1 およびそれ以前

対策方法

・製品のアップデートを行う。

脆弱性を修正したアップデートがすでに提供されています。

Apache Commons FileUpload 1.3.2

Tomcat 9.0.0M8

Tomcat 8.5.3

Tomcat 8.0.36

Tomcat 7.0.70

・ワークアラウンド

HTTP リクエストヘッダの大きさを制限することで、本脆弱性の影響を軽減することが可能です。

Apache Httpd および Apache Tomcat は、それぞれ LimitRequestFileSize および maxHttpHeaderSize の設定により、HTTP リクエストヘッダの大きさを上限を 2048 バイトに設定することで本脆弱性の影響を受けないとしています。 

Fwd: CVE-2016-3092: Apache Commons Fileupload information disclosure vulnerability

Download Apache Commons FileUpload -- Apache Commons FileUpload 1.3.2

Fixed in Apache Tomcat 9.0.0.M8

Fixed in Apache Tomcat 8.5.3 and 8.0.36

Fixed in Apache Tomcat 7.0.70

【追記】IPAに問い合わせました

REY：Tomcat上で動くWebアプリケーションにおいて「Commons FileUpload」を利用している場合、「Commons FileUploadのアップデートだけで対応可能」か「Tomcat、Common FileUpload両方のアップデート」が必要か、情報はありますでしょうか？

IPA：情報としてはありません。IPAとしては両方のアップデートを推奨します。

REY：マルチパートリクエストの処理に問題があるとの記載がありますが、シングルパートリクエスト処理の場合には今回の脆弱性は概要しないのでしょうか？

IPA：届け出として、「マルチパートリクエストの場合に発生する」と上がってきており、Webページで公表している以上の情報は持ち合わせておらずベンダーに問い合わせてほしい

 ＜参考＞

JVN#89379547: Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性

「Apache Commons FileUpload」にDoSの脆弱性、影響範囲の広さに注意（JVN） - ライブドアニュース

【セキュリティ ニュース】「Apache Commons FileUpload」に脆弱性 - 「Tomcat」「Struts 2」など広く影響（1ページ目 / 全1ページ）：Security NEXT