先日公開された「Apache Commons FileUpload にDoS攻撃の脆弱性」についてです。

Apache Commons FileUpload にDoS攻撃の脆弱性(JVN#89379547)について、いったん保留することを推奨します。

rey1229.hatenablog.com

詳細は以下の参照ください。

JVNのサイトにアップデート推奨とのことですが、現在、Apache Commons FileUpload の最新版が、ダウングレードされ、リンクが切れている状態で公開されています。

＜JVNの発表＞

JVN#89379547: Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性

＜Apache Commons FileUpload＞

FileUpload – Download Apache Commons FileUpload

 本来1.3.2が公開されているはずが、1.3.1が公開されています。(2016/7/5 23:57現在)

なお、アーカイブには1.3.2が公開されており、ダウンロードは可能ですが、リリースノートに記載は有りません。

Tomcatやほかの影響するシステムに関しても、アップデートを保留しているという情報があり、現時点では即時アップデートは控えることを推奨します。

私は会社としてJVNの問い合わせをしておりますが、対応について記載できる内容があれば記載していきたいと思います。