1.漏洞概述
监测到Apache Commons FileUpload 拒绝服务漏洞,漏洞编号为CVE-2023-24998,漏洞威胁等级:高危。
2.漏洞详情
Apache Commons FileUpload 包可以轻松地为您的 servlet 和 Web 应用程序添加强大的、高性能的文件上传功能。 Apache Commons FileUpload 不限制要处理的请求部分的数量,导致攻击者有可能通过恶意上传或一系列上传触发 DoS。 注意:Apache Tomcat使用Apache Commons FileUpload的打包重命名副本来提供Jakarta Servlet规范中定义的文件上传功能。因此,Apache Tomcat也容易受到Apache Commons FileUpload漏洞CVE-2023-24998的攻击,因为处理的请求部分数量没有限制。
3.影响版本
Apache Commons FileUpload 1.0-beta-1 到 1.4
Apache Tomcat 11.0.0-M1 Apache Tomcat 10.1.0-M1 到 10.1.4
Apache Tomcat 9.0.0-M1到9.0.70
Apache Tomcat 8.5.0 到 8.5.84
4.处置建议
厂商已发布了漏洞修复程序,安全版本如下:
Apache Commons FileUpload >= 1.5
Apache Tomcat 11.0.0-M3及以上版本
Apache Tomcat 10.1.5及以上版本
Apache Tomcat 9.0.71及以上版本
Apache Tomcat 8.5.85及以上版本
最新版官方下载链接:
https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi
https://tomcat.apache.org/download-11.cgi
https://tomcat.apache.org/download-10.cgi
https://tomcat.apache.org/download-90.cgi
https://tomcat.apache.org/download-80.cgi
中共烟台市委网络安全和信息化委员会办公室
2023年2月24日
