製品・ソフトウェアに関する情報
脆弱性検索
Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性
タイトル Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性
概要

Apache Commons FileUpload には、サービス運用妨害 (DoS) の脆弱性が存在します。 Apache Software Foundation が提供する Apache Commons FileUpload には、マルチパートリクエストの処理に問題があり、当該処理が無限ループになる脆弱性が存在します。 [2014年2月12日 - 追記] JPCERT/CC では、攻撃ツールが公開されていることを確認しています。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: Hitachi Incident Response Team (HIRT)

想定される影響 細工されたリクエストを処理すると、対象のシステムを応答不能な状態にされる可能性があります。
対策

[アップデートする] 本脆弱性を修正した各製品のアップデートが公開されました。 開発者の提供する情報をもとに、最新版にアップデートしてください。  * Apache Commons FileUpload 1.3.1   http://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi  * Apache Tomcat 8.0.3   http://www.apache.org/dist/tomcat/tomcat-8/v8.0.3/  * Apache Tomcat 7.0.52   http://www.apache.org/dist/tomcat/tomcat-7/v7.0.52/  * Apache Struts 2.3.16.1   http://struts.apache.org/download.cgi#struts23161 [パッチを適用する] 開発者のリポジトリでは、本脆弱性の修正コードが公開されています。  * Apache Commons FileUpload: http://svn.apache.org/r1565143  * Apache Tomcat 8: http://svn.apache.org/r1565163  * Apache Tomcat 7: http://svn.apache.org/r1565169 [ワークアラウンドを実施する] 以下の回避策を実施することで、本脆弱性の影響を軽減することが可能です。  * Content-Type ヘッダのサイズを 4091 バイト未満に制限する 詳しくは、開発者が提供する情報をご確認ください。
公表日 2014年2月10日0:00
登録日 2014年2月10日14:01
最終更新日 2016年11月22日16:00
CVSS2.0 : 警告
スコア 5
ベクター AV:N/AC:L/Au:N/C:N/I:N/A:P
影響を受けるシステム
Apache Software Foundation
Apache Tomcat 7.0.0 から 7.0.50 まで
Apache Tomcat 8.0.0-RC1 から 8.0.1 まで
Commons FileUpload 1.0 から 1.3 まで
Commons FileUpload に依存するその他の Apache 製品
オラクル
Application Express 4.2.6 未満
Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 2.2.2
Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 2.3
Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 2.4
Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 3.0
Oracle Fusion Middleware の Oracle Endeca Information Discovery Studio 3.1
Oracle Fusion Middleware の Oracle Enterprise Data Quality 8.1.2
Oracle Fusion Middleware の Oracle Enterprise Data Quality 9.0.11
Oracle Fusion Middleware の Oracle JDeveloper 10.1.3.5
Oracle Fusion Middleware の Oracle JDeveloper 11.1.1.7
Oracle Fusion Middleware の Oracle JDeveloper 11.1.2.4
Oracle Fusion Middleware の Oracle JDeveloper 12.1.2.0
Oracle Fusion Middleware の Oracle JDeveloper 12.1.3.0
Oracle Health Sciences Applications の Oracle Health Sciences Empirica Inspections 1.0.1.0 およびそれ以前
Oracle Health Sciences Applications の Oracle Health Sciences Empirica Signal 7.3.3.3 およびそれ以前
Oracle Health Sciences Applications の Oracle Health Sciences Empirica Study 3.1.2.0 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2014年02月10日]
  掲載
[2014年02月13日]
  概要:内容を更新
  対策:内容を更新
  ベンダ情報:Apache Software Foundation (Apache Tomcat 8.0.3) を追加 
[2014年02月21日]
  対策:内容を更新
  ベンダ情報:Apache Software Foundation (Apache Tomcat 7.0.52) を追加
[2014年02月24日]
  ベンダ情報:Apache Software Foundation (21 February 2014 - Immediately upgrade commons-fileupload to version 1.3.1) を追加
[2014年03月10日]
  対策:内容を更新
  ベンダ情報:Apache Software Foundation (Struts 2.3.16.1) を追加
[2014年03月28日]
  ベンダ情報:富士通 (Interstage Application Server: Java EE 6におけるサービス運用妨害(DoS)の脆弱性(CVE-2014-0050)) を追加
[2014年03月31日]
  ベンダ情報:日立 (HS14-008) を追加
[2014年04月02日]
  参考情報:National Vulnerability Database (NVD) (CVE-2014-0050) を追加
[2014年05月13日]
  ベンダ情報:レッドハット (RHSA-2014:0400) を追加
[2014年07月01日]
  ベンダ情報:VMware (VMSA-2014-0007) を追加
  ベンダ情報:日立 (HS14-015) を追加
  ベンダ情報:日立 (HS14-016) を追加
  ベンダ情報:日立 (HS14-017) を追加
[2014年07月25日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:Huawei (Huawei-SA-20140707-01-Struts2) を追加
  ベンダ情報:IBM (1677724) を追加
  ベンダ情報:IBM (1676853) を追加
  ベンダ情報:IBM (1676656) を追加
  ベンダ情報:IBM (1676410) を追加
  ベンダ情報:IBM (1676405) を追加
  ベンダ情報:IBM (1676403) を追加
  ベンダ情報:IBM (1676401) を追加
  ベンダ情報:IBM (1675432) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices) を追加
  ベンダ情報:レッドハット (Bug 1062337) を追加
[2014年09月09日]
  ベンダ情報:IBM (1677691) を追加
  ベンダ情報:IBM (1681214) を追加
[2014年10月21日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2014) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2014 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2014 Critical Patch Update Released) を追加
[2015年01月30日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
[2015年04月20日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (April 2015 Critical Patch Update Released) を追加
[2015年05月11日]
  参考情報:関連文書 (MGASA-2014-0110) を追加
[2015年06月08日]
  ベンダ情報:日本電気 (NV15-004) を追加
[2015年06月26日]
  ベンダ情報:IBM (1676091) を追加
  ベンダ情報:IBM (1676092) を追加
  ベンダ情報:IBM (1669554) を追加
[2015年10月22日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2015 Critical Patch Update Released) を追加
[2016年01月28日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2016 Critical Patch Update Released) を追加
[2016年11月22日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2016 Critical Patch Update Released) を追加		 2018年2月17日10:37
NVD脆弱性情報
CVE-2014-0050
概要

MultipartStream.java in Apache Commons FileUpload before 1.3.1, as used in Apache Tomcat, JBoss Web, and other products, allows remote attackers to cause a denial of service (infinite loop and CPU consumption) via a crafted Content-Type header that bypasses a loop's intended exit conditions.

公表日 2014年4月1日15:27
登録日 2021年1月26日15:03
最終更新日 2024年11月21日11:01
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:oracle:retail_applications:12.0in:*:*:*:*:*:*:*
cpe:2.3:a:oracle:retail_applications:13.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:retail_applications:13.3:*:*:*:*:*:*:*
cpe:2.3:a:oracle:retail_applications:13.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:retail_applications:12.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:retail_applications:14.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:retail_applications:13.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:retail_applications:13.4:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:a:apache:tomcat:7.0.2:beta:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.49:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.12:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.20:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.34:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.8:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.5:*:*:*:*:*:*:*
cpe:2.3:a:apache:commons_fileupload:1.2.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.4:beta:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.22:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.39:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.26:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.46:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.28:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:8.0.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:commons_fileupload:1.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.50:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.6:*:*:*:*:*:*:*
cpe:2.3:a:apache:commons_fileupload:1.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:8.0.0:rc2:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.18:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.14:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.48:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.11:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:8.0.0:rc1:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.23:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.0:beta:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.44:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.7:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.42:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.37:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.29:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.45:*:*:*:*:*:*:*
cpe:2.3:a:apache:commons_fileupload:*:*:*:*:*:*:*:* 1.3
cpe:2.3:a:apache:tomcat:8.0.0:rc10:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.13:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.47:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.41:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.31:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.30:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.15:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.19:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.16:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.10:*:*:*:*:*:*:*
cpe:2.3:a:apache:commons_fileupload:1.1.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.36:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.25:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.35:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.43:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:8.0.0:rc5:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.32:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.38:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.21:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.27:*:*:*:*:*:*:*
cpe:2.3:a:apache:commons_fileupload:1.2.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.24:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.17:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.40:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.9:*:*:*:*:*:*:*
cpe:2.3:a:apache:commons_fileupload:1.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.4:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.3:*:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:7.0.33:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧