Apache Commons FileUpload & Apache Tomcat拒绝服务漏洞预警（CVE-2023-24998）

2023-02-22

一、概要

近日，华为云关注到Apache Commons 官方发布安全公告，披露在Apache Commons FileUpload＜1.5版本中存在一处拒绝服务漏洞（CVE-2023-24998）。由于Apache Commons FileUpload对请求部分要处理的数量未做限制，导致攻击者可以利用此漏洞恶意上传或一系列上传触发拒绝服务。

Apache Tomcat由于使用Apache Commons FileUpload的打包重命名副本来提供Jakarta Servlet规范中定义的文件上传功能。因此，Apache Tomcat也受到CVE-2023-24998影响。

Commons FileUpload是Apache组织提供的免费的上传组件。华为云提醒使用Apache Commons FileUpload的用户尽快安排自检并做好安全加固。

参考链接：

https://commons.apache.org/proper/commons-fileupload/security-reports.html

https://tomcat.apache.org/security-10.html

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

Apache Commons FileUpload 1.0-beta-1 - 1.4

Apache Tomcat 11.0.0-M1

Apache Tomcat 10.1.0-M1 - 10.1.4

Apache Tomcat 9.0.0-M1 - 9.0.70

Apache Tomcat 8.5.0 - 8.5.84

安全版本：

Apache Commons FileUpload >= 1.5

Apache Tomcat >= 11.0.0-M3

Apache Tomcat >= 10.1.5

Apache Tomcat >= 9.0.71

Apache Tomcat >= 8.5.85

四、漏洞排查及修复

漏洞排查

1、Apache Commons FileUpload

需要同时满足以下两个条件才会受影响

1）使用到受影响版本的Commons-FileUpload包；

2）业务场景中调用org.apache.commons.fileupload的地方或者对commons-fileupload有二次封装的场景是否从业务层面对上传文件数量和大小进行验证和限制，如果没有，则受到该漏洞影响。

2、Apache Tomcat

需要同时满足以下两个条件才会受影响

1) 使用的tomcat是受影响的版本；

2) 在有调用org.apache.tomcat.util.http.fileupload函数的接口或函数是否从业务层面对上传文件数量和大小进行验证和限制，如果没有，则受到该漏洞影响。

漏洞修复

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

https://tomcat.apache.org/index.html

注：修复漏洞前请将资料备份，并进行充分测试。