Apache Commons FileUpload拒绝服务漏洞
发表日期:2014-02-10 15:00:00
Apache Commons FileUpload拒绝服务漏洞
BugTraq-ID:65400
CVE-ID:CVE-2014-0050
受影响系统:
Apache Group Commons FileUpload 1.3
Apache Group Commons FileUpload 1.2
Apache Group Commons FileUpload 1.1
Apache Group Commons FileUpload 1.0
未受影响系统:
Apache Group Commons FileUpload 1.3.1
详细信息:
Apache Commons FileUpload软件包可以向小服务程序和Web应用添加高性能的文件上传功能。
Apache Commons FileUpload 1.0-1.3、Apache Tomcat 8.0.0-RC1 - 8.0.1、Apache Tomcat 7.0.0 - 7.0.50在解析多部分请求的畸形内容类型报文头时,可触发安全漏洞,造成无限循环,导致程序崩溃。
来源:
JPCERT
参考信息:
http://osvdb.org/show/osvdb/102945
解决办法:
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://commons.apache.org/proper/commons-fileupload//
http://svn.apache.org/viewvc?view=revision&revision=1565169