登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

Apache Commons FileUpload拒绝服务漏洞通告(CVE-2023-24998)

【发布时间:2023-05-11】

威胁预警团队

2022/02/21


1. 漏洞综述

1.1 漏洞背景

Apache Commons是一个专注于可重用Java组件开发的 Apache 项目。Apache Commons由Commons Proper、The Commons Sandbox和The Commons Dormant三个部分组成,Apache Commons-FileUpload是Commons Proper中的一个组件,用来接收浏览器上传的文件。近日,新华三攻防实验室威胁预警团队监测到Apache官方发布安全公告,修复了一个存在于Apache Commons FileUpload中的拒绝服务漏洞(CVE-2023-24998),攻击者利用该漏洞可导致拒绝服务。

1.2 漏洞详情

该漏洞是由于Apache Commons File Upload对请求数量未进行严格限制导致,恶意攻击者通过上传大量的文件,从而触发拒绝服务(DoS)。(Apache Tomcat采用Apache Commons FileUpload实现Servlet规范中定义的文件上传功能)

2. 影响范围

Apache Commons FileUpload:版本1.0-beta-1 - 1.4

Apache Tomcat

Apache Tomcat 版本11.0.0-M1

Apache Tomcat 版本10.1.0-M1 - 10.1.4

Apache Tomcat 版本9.0.0-M1 - 9.0.70

Apache Tomcat 版本8.5.0 - 8.5.84

3. 严重等级

威胁等级

中危

影响程度

广泛

利用价值

中等

利用难度

漏洞评分

6.5

4. 处置方法

4.1 官方补丁

目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:

Apache Commons FileUpload

https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

Apache Tomcathttps://tomcat.apache.org/index.html

5. 参考链接

https://tomcat.apache.org/security-10.html

https://commons.apache.org/proper/commons-fileupload/security-reports.html

https://lists.apache.org/thread/4xl4l09mhwg4vgsk7dxqogcjrobrrdoy

新华三官网
联系我们