近日,安全狗应急响应中心关注到Apache官方发布安全公告,披露在Apache Commons FileUpload<1.5版本中存在一处拒绝服务漏洞(CVE-2023-24998)。Commons FileUpload是Apache组织提供的免费的上传组件。由于Apache Commons FileUpload对请求部分要处理的数量未做限制,导致攻击者可以利用此漏洞恶意上传或一系列上传触发拒绝服务。
漏洞描述
Apache Commons FileUpload 是一个向 servlet 和 Web 应用程序提供文件上传功能的开源组件。1.5 之前版本中,由于 Apache Commons FileUpload 在处理用户的文件上传请求时未对文件数量进行限制,攻击者可通过上传大量文件造成拒绝服务。1.5 版本中用户可通过配置 FileUploadBase#setFileCountMax 限制用户文件上传数量(默认不启用,需手动配置)。
Apache Tomcat由于使用Apache Commons FileUpload的打包重命名副本来提供Jakarta Servlet规范中定义的文件上传功能。因此,Apache Tomcat也受到CVE-2023-24998影响。Apache Commons FileUpload满足:使用到受影响版本的Commons-FileUpload包且在业务场景中调用org.apache.commons.fileupload的地方或者对commons-fileupload有二次封装的场景是否从业务层面对上传文件数量和大小进行验证和限制,如果没有,则受到该漏洞影响。
Apache Tomcat满足:使用的tomcat是受影响的版本;在有调用org.apache.tomcat.util.http.fileupload函数的接口或函数是否从业务层面对上传文件数量和大小进行验证和限制,如果没有,则受到该漏洞影响。
安全通告信息
| 漏洞名称 | Apache Commons FileUpload拒绝服务漏洞 |
| 漏洞影响版本 | Apache Commons FileUpload<1.5 |
| 漏洞危害等级 | 高危 |
| 厂商是否已发布漏洞补丁 | 是 |
| 版本更新地址 | https://tomcat.apache.org/index.html |
| 安全狗总预警期数 | 261 |
| 安全狗发布预警日期 | 2023年02月23日 |
| 安全狗更新预警日期 | 2023年02月23日 |
| 发布者 | 安全狗海青实验室 |
安全建议
目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本
参考链接
https://tomcat.apache.org/security-10.html
https://commons.apache.org/proper/commons-fileupload/security-reports.html
