Apache Commons FileUpload & Apache Tomcat拒绝服务漏洞解决方案

最新推荐文章于 2024-05-03 14:13:41 发布
最新推荐文章于 2024-05-03 14:13:41 发布
阅读量1.3k 收藏 4
点赞数 1
分类专栏: 安全狗 文章标签: apache tomcat servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bocco/article/details/129184302
版权

近日,安全狗应急响应中心关注到Apache官方发布安全公告,披露在Apache Commons FileUpload<1.5版本中存在一处拒绝服务漏洞(CVE-2023-24998)。Commons FileUpload是Apache组织提供的免费的上传组件。由于Apache Commons FileUpload对请求部分要处理的数量未做限制,导致攻击者可以利用此漏洞恶意上传或一系列上传触发拒绝服务。

 

漏洞描述

Apache Commons FileUpload 是一个向 servlet 和 Web 应用程序提供文件上传功能的开源组件。1.5 之前版本中,由于 Apache Commons FileUpload 在处理用户的文件上传请求时未对文件数量进行限制,攻击者可通过上传大量文件造成拒绝服务。1.5 版本中用户可通过配置 FileUploadBase#setFileCountMax 限制用户文件上传数量(默认不启用,需手动配置)。

Apache Tomcat由于使用Apache Commons FileUpload的打包重命名副本来提供Jakarta Servlet规范中定义的文件上传功能。因此,Apache Tomcat也受到CVE-2023-24998影响。Apache Commons FileUpload满足:使用到受影响版本的Commons-FileUpload包且在业务场景中调用org.apache.commons.fileupload的地方或者对commons-fileupload有二次封装的场景是否从业务层面对上传文件数量和大小进行验证和限制,如果没有,则受到该漏洞影响。

Apache Tomcat满足:使用的tomcat是受影响的版本;在有调用org.apache.tomcat.util.http.fileupload函数的接口或函数是否从业务层面对上传文件数量和大小进行验证和限制,如果没有,则受到该漏洞影响。

安全通告信息

漏洞名称

Apache Commons FileUpload拒绝服务漏洞

漏洞影响版本

Apache Commons FileUpload<1.5

漏洞危害等级

高危

厂商是否已发布漏洞补丁

版本更新地址

https://tomcat.apache.org/index.html

安全狗总预警期数

261

安全狗发布预警日期

2023年02月23日

安全狗更新预警日期

2023年02月23日

发布者

安全狗海青实验室

安全建议

目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本

参考链接

https://tomcat.apache.org/security-10.html

https://commons.apache.org/proper/commons-fileupload/security-reports.html

安全狗新闻
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件上传组件commons-fileupload用户指南
07-25
文件上传组件commons-fileupload用户指南文件上传组件commons-fileupload用户指南
apache-commons源码及jar文件
02-28
Apache Commons是一个非常有用的工具包,解决各种实际的通用问题。(附件中提供了该工具包的jar包,及源文件以供研究) BeanUtils Commons-BeanUtils 提供对 Java 反射和自省API的包装 Betwixt Betwixt提供将 JavaBean 映射至 XML 文档,以及相反映射的服务. Chain Chain 提供实现组织复杂的处理流程的&ldquo;责任链模式&rdquo;. CLI CLI 提供针对命令行参数,选项,选项组,强制选项等的简单API. Codec Codec 包含一些通用的编码解码算法。包括一些语音编码器, Hex, Base64, 以及URL encoder. Collections Commons-Collections 提供一个类包来扩展和增加标准的 Java Collection框架 Configuration Commons-Configuration 工具对各种各式的配置和参考文件提供读取帮助. Daemon 一种 unix-daemon-like java 代码的替代机制 DBCP Commons-DBCP 提供数据库连接池服务 DbUtils DbUtils 是一个 JDBC helper 类库,完成数据库任务的简单的资源清除代码. Digester Commons-Digester 是一个 XML-Java对象的映射工具,用于解析 XML配置文件. Discovery Commons-Discovery 提供工具来定位资源 (包括类) ,通过使用各种模式来映射服务/引用名称和资源名称。. EL Commons-EL 提供在JSP2.0规范中定义的EL表达式的解释器. FileUpload FileUpload 使得在你可以在应用和Servlet中容易的加入强大和高性能的文件上传能力 HttpClient Commons-HttpClient 提供了可以工作于HTTP协议客户端的一个框架. IO IO 是一个 I/O 工具集 Jelly Jelly是一个基于 XML 的脚本和处理引擎。 Jelly 借鉴了 JSP 定指标签,Velocity, Cocoon和Xdoclet中的脚本引擎的许多优点。Jelly 可以用在命令行, Ant 或者 Servlet之中。 Jexl Jexl是一个表达式语言,通过借鉴来自于Velocity的经验扩展了JSTL定义的表达式语言。. JXPath Commons-JXPath 提供了使用Xpath语法操纵符合Java类命名规范的 JavaBeans的工具。也支持 maps, DOM 和其他对象模型。. Lang Commons-Lang 提供了许多许多通用的工具类集,提供了一些java.lang中类的扩展功能 Latka Commons-Latka 是一个HTTP 功能测试包,用于自动化的QA,验收和衰减测试. Launcher Launcher 组件是一个交叉平台的Java 应用载入器。 Commons-launcher 消除了需要批处理或者Shell脚本来载入Java 类。.原始的 Java 类来自于Jakarta Tomcat 4.0 项目 Logging Commons-Logging 是一个各种 logging API实现的包裹类. Math Math 是一个轻量的,自包含的数学和统计组件,解决了许多非常通用但没有及时出现在Java标准语言中的实践问题. Modeler Commons-Modeler 提供了建模兼容JMX规范的 Mbean的机制. Net Net 是一个网络工具集,基于 NetComponents 代码,包括 FTP 客户端等等。 Pool Commons-Pool 提供了通用对象池接口,一个用于创建模块化对象池的工具包,以及通常的对象池实现. Primitives Commons-Primitives提供了一个更小,更快和更易使用的对Java基本类型的支持。当前主要是针对基本类型的 collection。. Validator The commons-validator提供了一个简单的,可扩展的框架来在一个XML文件中定义校验器 (校验方法)和校验规则。支持校验规则的和错误消息的国际化。
commons-fileupload-1.4-API文档-中文版.zip
05-09
赠送jar包:commons-fileupload-1.4.jar; 赠送原API文档:commons-fileupload-1.4-javadoc.jar; 赠送源代码:commons-fileupload-1.4-sources.jar; 赠送Maven依赖信息文件:commons-fileupload-1.4.pom; 包含翻译后的API文档:commons-fileupload-1.4-javadoc-API文档-中文(简体)版.zip; Maven坐标:commons-fileupload:commons-fileupload:1.4; 标签:fileuploadcommons、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开&ldquo;index.html&rdquo;文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
Commons FileUpload1.21和1.3版本 升级到Commons FileUpload1.5升级说明中“ simple yet flexible means ” 是哪种方法
JEFFYU328的专栏
03-09 2542
Commons FileUpload1.21和1.3到Commons FileUpload1.5 如何升级、问题在哪请大佬教一下,不甚感激!
JAVA学习提高之---- FileUpload组件实现多文件上传(JSP+SERVLET)实现
热门推荐
仰望者!
12-26 2万+
引用:http://luoke920.javaeye.com/blog/271257相关文章也可以看一下:http://www.jspcn.net/htmlnews/2005011.htmlhttp://www.jspcn.net/htmlnews/2005024.htmlhttp://www.jspcn.net/htmlnews/20050115.html一文中使用FileUpload组件实现多
JSP的FileUpload(上传图片)应用
05-24 3254
Apache FileUpload文件上传组件API解析        Java Web开发人员可以使用Apache文件上传组件来接收浏览器上传的文件,该组件由多个类共同组成,但是,对于使用该组件来编写文件上传功能的Java Web开发人员来说,只需要了解和使用其中的三个类:DiskFileUpload、FileItem和FileUploadException。这三个类全部位于org.apac
Web_文件的上传-FileUpload
tiantaiaiqing的专栏
09-23 581
一.Tip:上传文件的处理细节 1.中文文件乱码问题 文件名中文乱码问题,可调用ServletUpLoader的setHeaderEncoding方法,或者设置request的setCharacterEncoding属性 普通字段的乱码:   1.手工转换   2.FileItem.getString("UTF-8");获得名称的时候传一个字符集  上传文件的乱码: Ser
Apache Commons FileUpload maven依赖
沧笙踏歌的博客
05-19 2305
Apache Commons是一个专注于可重用Java组件的所有方面的 Apache 项目。Apache Commons项目由三个部分组成:Commons Proper - 可重用Java组件的存储库。The Commons Sandbox - 用于Java组件开发的工作区。The Commons Dormant - 当前不活动的组件存储库。
Apache Commons FileUpload 拒绝服务漏洞(CVE-2023-24998)
weixin_45816407的博客
08-08 2224
接着点击WEB-INF文件夹下的lib文件夹将下载的jar包放入。直接修改webapp中的解压后的war包文件。一直点击,点击pom.xml。
centos7 修改进程最大文件数
buptwcx的专栏
12-03 825
centos7 服务进程 最大句柄数修改
适用于tomecat10的Fileupload
07-14
commons-fileupload1.4更高版本更新前可以暂时适应Javax改为jakarta,目前jar包修改了引用类,将原有Servlet*改为JakSrvlt*即可使用,例如 ServletFileUpload改为JakSrvltFileUpload,即可在JavaEE8+以及Tomcat10...
Commons FileUpload组件架包.zip
04-29
通过tomcat部署web服务器实现文件上传下载,需要用到apache提供的包:commons-fileupload.jar。简单介绍,如下:用浏览需要上传的文件,同时要求FORM表单的enctype属性设置为&ldquo;multipart/form-data&rdquo;,method属性...
commons-fileupload-1.0-beta-1.jar、commons-beanutils-1.8.3.jar
07-22
CommonsApache开放源代码组织中的一个Java子项目,该项目主要涉及一些开发中常用的模块,例如文件上传、命令行处理、数据库连接池、XML配置文件处理等。这些项目集合了来自世界各地软件工程师的心血,其性能、稳定...
文件上传组件FileUpload 以及邮箱搭建JavaMail
apple3515的博客
11-21 283
文件上传与下载 1.1 文件上传 案例: 注册表单/保存商品等相关模块! --à注册选择头像 / 商品图片 (数据库:存储图片路径 / 图片保存到服务器中指定的目录) 文件上传,要点: 前台: 1. 提交方式:post 2. 表单中有文件上传的表单项: &lt;input type=”file”/&gt; 3. 指定表单类型: 默认类型:enctype=...
文件上传与下载(二)大文件上传
w_t_y_y的博客
08-30 89
文件过大上传处理: 一、图片压缩上传:图片过大时上传会占用服务器内存,可以在前端进行压缩后上传,如图是我上传后下载的图片,原图为14M,压缩后只有270KB &lt;!-- @format --&gt; &lt;template&gt; &lt;div &gt; &lt;div ref="articalImg" class="articalImg"&gt; &lt;span&gt; &lt;label class="butto.
学习笔记之- Apache fleupload文件上传
Code_Guan的博客
06-07 215
1.首先我们了解一些类的作用和方法。 1.DiskFileItemFactory类 属性: (1) public static final int DEFAULT_SIZE_THRESHOLD :将文件保存在内存还是磁盘临时文件夹的默认临界值,值为10240,即10kb。 (2) private File repository:用于配置在创建文件项目时,当文件项目大于临界值时使用的临时文件夹,默认采用系统默认的临时文件路径,可以通过系统属性 java.io.tmpdir获取。如下代码: System.g
Atlassian 安全更新修复多个高危漏洞
smellycat000的专栏
09-22 216
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周,Atlassian 公司修复了影响 Jira、Confluence、Bitbucket 和 Bamboo 产品的四个高危漏洞。其中,最严重的漏洞是CVE-2023-22513(CVSS评分为8.5),是位于 Bitbucket 中的一个远程代码执行漏洞,可影响机密性、完整性和可用性。认证攻击者可在无需用户交互的前提下利用该漏洞。该漏洞在 B...
安全漏洞修复-Common FileUpload-CVE-2016-100031
llCnll的博客
04-11 4672
一. 漏洞描述 近日,Apache官方发布安全通告强烈建议使用Apache Struts2.3.X版本的用户对commons-fileupload组件进行升级。Struts 2.3.x默认使用1.3.2旧版本commons-fileupload组件。早在2016年,该版本组件被揭露存在反序列化漏洞,此漏洞可导致任意远程代码执行。 受影响版本: Apache Struts &lt;= 2.3.36 Apache Common FileUpload &lt; 1.3.3 二. 修复方式 Common FileU
Apache RocketMQ知识点表格总结及示例
最新发布
小蜜蜂1010的博客
05-03 1169
分布式消息队列Apache RocketMQ知识点表格总结以及代码示例
rg.apache.commons.fileupload.servlet.ServletFileUpload 类怎么代替 org.apache.tomcat.util.http.fileupload.FileUploadBase.RequestContext 类,
05-22
Apache Tomcat 的文件上传组件中的一部分,而org.apache.commons.fileupload.servlet.ServletFileUpload 则是 Apache Commons FileUpload 的文件上传组件中的一部分,两者虽然都是用于处理文件上传,但是实现方式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值