Apache Commons、Apache Commons FileUpload にサービス運用妨害の脆弱性を確認
Apache Commons FileUpload にサービス運用妨害の脆弱性が確認された。影響を受けるのはApache Commons Fileupload 1.3 から1.3.1、Apache Commons Fileupload 1.2 から1.2.2、Apache Commons Fileupload 1.0.x及び1.1.x、Apache Tomcat 9.x から9.0.0M6、Apache Tomcat 8.x から8.0.35、
Apache Tomcat 7.x から 7.0.69、Apache Tomcat 6.x、5.x、Apache Struts 2.5.xとそれ以前で、そのほかにもFileUploadを使用するJenkins、JSPWiki、JXP、Lucene-Solr、onemind-commons、Spring、Stapler、Struts 1、WSDL2cなどの製品も影響を受ける。これらの脆弱性が悪用されると、不正なリクエストによりFileupload libraryを使用したHTTPサーバが応答不能になったりほかのリクエストの妨害を行う恐れがある。解決策として、Commons Fileupload 1.3.2.、Apache Tomcat 9.0.0M8、8.0.36、7.0.70が公開されており、アップデートによりこの脆弱性は解消される。また、回避策としてHTTPリクエストヘッダのサイズを制限することでこの脆弱性の影響を軽減できる。