↑ 点击上方关注我们
近日,安全狗应急响应中心关注到Apache官方发布安全公告,披露在Apache Commons FileUpload<1.5版本中存在一处拒绝服务漏洞(CVE-2023-24998)。Commons FileUpload是Apache组织提供的免费的上传组件。由于Apache Commons FileUpload对请求部分要处理的数量未做限制,导致攻击者可以利用此漏洞恶意上传或一系列上传触发拒绝服务。
Apache Commons FileUpload 是一个向 servlet 和 Web 应用程序提供文件上传功能的开源组件。1.5 之前版本中,由于 Apache Commons FileUpload 在处理用户的文件上传请求时未对文件数量进行限制,攻击者可通过上传大量文件造成拒绝服务。1.5 版本中用户可通过配置 FileUploadBase#setFileCountMax 限制用户文件上传数量(默认不启用,需手动配置)。
Apache Tomcat由于使用Apache Commons FileUpload的打包重命名副本来提供Jakarta Servlet规范中定义的文件上传功能。因此,Apache Tomcat也受到CVE-2023-24998影响。Apache Commons FileUpload满足:使用到受影响版本的Commons-FileUpload包且在业务场景中调用org.apache.commons.fileupload的地方或者对commons-fileupload有二次封装的场景是否从业务层面对上传文件数量和大小进行验证和限制,如果没有,则受到该漏洞影响。
Apache Tomcat满足:使用的tomcat是受影响的版本;在有调用org.apache.tomcat.util.http.fileupload函数的接口或函数是否从业务层面对上传文件数量和大小进行验证和限制,如果没有,则受到该漏洞影响。
漏洞名称 | Apache Commons FileUpload拒绝服务漏洞 |
漏洞影响版本 | Apache Commons FileUpload<1.5 |
漏洞危害等级 | 高危 |
厂商是否已发布漏洞补丁 | 是 |
版本更新地址 | https://tomcat.apache.org/index.html |
安全狗总预警期数 | 261 |
安全狗发布预警日期 | 2023年02月23日 |
安全狗更新预警日期 | 2023年02月23日 |
发布者 | 安全狗海青实验室 |
目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本
若想了解更多安全狗产品信息或有相关业务需求,可前往安全狗官网了解:https://www.safedog.cn/
安全狗云眼采用Gartner提出的CWPP理念,提出了以工作负载为中心,以自动化、细粒度资产采集为基础,提供多种风险排查和漏洞发现手段,依托反杀伤链和实时入侵检测响应能力支撑企业安全防护二道防线,解决现代混合云、多云数据中心基础架构中服务器工作负载的安全需求,最终达到对已知威胁的自动响应以及对潜在威胁的检测识别。
云御是一款新一代混合式Web防火墙产品,通过网络层过滤和主机应用层自保护(RASP)相结合的技术,既能够过滤传统常见的攻击又可以对异常变形和未知漏洞的高级攻击进行识别,达到双层纵深防御的效果。
安全狗云网·发现及补丁修复系统可以为用户构建属于自己的补丁大数据仓库,用于修补可能导致安全薄弱、破坏关键系统数据或导致系统不可用的漏洞。云网不仅可以进行补丁部署,还可扫描网络漏洞、识别缺失的安全补丁和修补程序,并立即部署以降低网络空间风险。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...