Apache Commons FileUpload 拒绝服务漏洞(CVE-2023-24998)

于 2024-03-28 11:02:19 发布
阅读量272 收藏
点赞数 3
分类专栏: tomcat java 文章标签: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22181793/article/details/137104696
版权
java 同时被 2 个专栏收录
35 篇文章 1 订阅
订阅专栏
tomcat
8 篇文章 0 订阅
订阅专栏

前几天客户委托的第三方软件扫描出漏洞:Apache Commons FileUpload 拒绝服务漏洞(CVE-2023-24998)。

网上搜索资料得知解决办法是将 Commons FileUpload 升级到 1.5 及以上版本,注意就是fileupload包的升级,可能会导致commons-io包的版本不匹配。

我测试了一下,commons-fileupload-1.5和commons-io-2.4应该是没问题的,在这里也提供jar包,有需要的可自行下载。

链接:https://pan.baidu.com/s/17viXCZwsnjPiUiHbhvpCBQ 
提取码:rgrz

ebg_coder
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
安全漏洞修复-Common FileUpload-CVE-2016-100031
llCnll的博客
04-11 4672
一. 漏洞描述 近日,Apache官方发布安全通告强烈建议使用Apache Struts2.3.X版本的用户对commons-fileupload组件进行升级。Struts 2.3.x默认使用1.3.2旧版本commons-fileupload组件。早在2016年,该版本组件被揭露存在反序列化漏洞,此漏洞可导致任意远程代码执行。 受影响版本: Apache Struts <= 2.3.36 Apache Common FileUpload < 1.3.3 二. 修复方式 Common FileU
apache commons fileupload 安全漏洞(2016-07-01更新)
Jog熊吉的博客
07-22 5515
Apache Commons FileUpload安全漏洞 该页面列出所有Apache Commons FileUpload发行版中修复的安全漏洞。每个安全漏斗都由开发团队给予安全影响等级——请注意该等级可能给予系统而变化。我们还列出Commons FileUpload各版本已知漏洞的影响,以及各版本未证实漏洞会附带问号进行罗列。 请注意该页面未提供二进制文件补丁。如果你需要实施源码补丁,
【Tomcat】Tomcat多个版本存在拒绝服务漏洞
cnskylee的博客
02-22 6726
Apache Tomcat使用Apache Commons FileUpload的打包重命名副本 提供 Jakarta Servlet 中定义的文件上传功能 规范。因此,Apache Tomcat也容易受到 Apache 共享资源文件上传漏洞。为 处理的请求部件数量没有限制。这 导致攻击者可能触发 DoS 恶意上传或一系列上传。拒绝服务漏洞(DoS)2022年12月11日。
CVE-2016-1000031 Apache Commons FileUpload 反序列化漏洞深入分析
沧海一粟
02-20 1万+
反序列化漏洞最近一直不得安宁,先有Apache Commons Collections通过反序列化实现远程代码执行,再有Spring RMI 反序列化漏洞,最新又有了common upload file的反序列化漏洞CVE-2016-1000031(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031) 漏洞原因 先来看
开发工具 commons-fileupload-1.3.2
05-31
开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2...
commons-fileupload-1.4-API文档-中文版.zip
05-09
赠送jar包:commons-fileupload-1.4.jar; 赠送原API文档:commons-fileupload-1.4-javadoc.jar; 赠送源代码:commons-fileupload-1.4-sources.jar; 赠送Maven依赖信息文件:commons-fileupload-1.4.pom; 包含...
commons-fileupload-1.3.3-API文档-中文版.zip
07-12
赠送jar包:commons-fileupload-1.3.3.jar; 赠送原API文档:commons-fileupload-1.3.3-javadoc.jar; 赠送源代码:commons-fileupload-1.3.3-sources.jar; 赠送Maven依赖信息文件:commons-fileupload-1.3.3.pom;...
commons-fileupload-1.3.3和commons-io-2.6
09-09
Commons FileuploadApache commons众多开源组件中的一员,这种类库用于解析二进制数据流,一些框架如Struts里集成了Apache CommonFileupload类库来实现文件上传。
Data truncation异常
热门推荐
想到就写点东西的博客
12-13 3万+
今天更新数据库时出现了java.sql.DataTruncation Data truncation的异常,经过检查发现,某个字段数据库设置长度为3,实际值是5,导致异常。 经过搜索发现,除了长度以外,精度,范围,大小等都有可能出现该异常。...
base64字符串和图片互相转换
想到就写点东西的博客
12-25 8470
java类想要实现base64字符串转成图片文件输出,或者图片文件转成base64字符串输出,可以参考以下代码: package com.ttt; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.io.InputStream; imp
JSCH连接sftp,Invalid private key和algorithm negotiation fail异常解决
想到就写点东西的博客
05-15 7596
这几天项目有个功能涉及sftp,甲方提供了一个xxx.ppk,这个ppk文件是通过PuTTYgen创建的,用来加密的。程序里面是java代码,用jsch插件来建立sftp连接。 一顿操作之后连接测试,报异常: com.jcraft.jsch.JSchException:invalidprivatekey 查询资料得知,使用jsch连接sftp的话,JSch期望私钥是OpenSSH格...
Java判断手机号格式
想到就写点东西的博客
01-17 6164
利用正则表达式,对手机号进行格式判断:String mobile = "13712345678"; String regex = "^((13[0-9])|(14[5|7])|(15([0-3]|[5-9]))|(18[0,5-9]))\\d{8}$"; if (Pattern.matches(regex, mobile)) { System.out.println("校验成功"); } e
Unsupported record version Unknown-0.0 问题解决
想到就写点东西的博客
09-18 5826
前几天要用https调用一个地址,jdk使用的是1.8,协议是tlsv1.2,但是一直调用的时候返回Unsupported record version Unknown-0.0,百思不得其解,网上的资料也很少。 有一天奇怪的是,在别人的电脑是可以的!于是怀疑起本机internet选项的tlsv1.2、注册表等等,但还是不行。 后来无意中发现,低版本的jdk1.8,会有握手时不会发送SNI的bug,于是升级了高一点版本的jdk,结果就解决了! 原来是jdk1.8.0_101,升到了jdk1.8.0_
与另一个进程被死锁在 锁 资源上,并且已被选作死锁牺牲品。问题解决
想到就写点东西的博客
10-18 5151
可以看出是在做修改的时候发生的报错,从日志里面分析发现是两个不同的进程对同一张表进行update,但是修改的范围where id是不同的。后面发现问题是因为,该表没有给id设置索引导致,sqlserver如果没有索引默认update的时候会锁整个表,导致该死锁问题。解决方案:给id加上索引或者主键。
Linux 导出java dump文件
想到就写点东西的博客
06-01 3786
有时候巡检要关注一下系统的运行情况,防止内存使用过多,随时会OOM,这时候需要导出dump文件查看。1、获取java应用的pid 输入命令后,找到java应用的pid2、使用jdk的jmp命令导出dump文件如果环境已经配好java环境,可以直接 如果没配java环境,那就复制一个jdk文件到linux服务器上,cd到bin目录,然后在命令前面加上./ 3、导出成功后,一般这个dump文件都挺大的,压缩好再传到windows。用eclipse memory analyzer工具分析,观察内存使用
解决csv文件用excel打开乱码的问题
想到就写点东西的博客
03-14 3631
Java里面生成csv文件以后,用文本工具打开很正常,没有问题;但是用excel打开会乱码,经过搜索知道,需要在csv加入bom信息,让excel能识别,并且可以根据逗号自动填充单元格。代码如下:try { FileOutputStream fos = new FileOutputStream("E:\\test.csv", false); //在csv加上bom信息,防止excel打...
Java获取两个时间内的全部时间
想到就写点东西的博客
03-09 3588
最近有个需求,需要使用定时器每天生成文件,文件以天为维度。例如过去一个月30天,需要生成30个文件。这样需要获取开始日期和结束日期之内的全部日期(包括开始日期和结束日期)。下面是代码实现:package cn.test; import java.text.ParseException; import java.text.SimpleDateFormat; import java.util.Cal...
CVE-2023-24998
最新发布
07-28
CVE-2023-24998是一个存在于Apache Commons FileUpload<1.5版本中的拒绝服务漏洞。该漏洞影响了使用Apache Commons FileUpload的应用程序,包括Apache Tomcat。攻击者可以利用这个漏洞通过恶意上传文件或一系列上传来触发拒绝服务。\[1\]\[2\]\[3\]为了防止受到该漏洞的影响,建议对上传文件的数量和大小进行验证和限制。 #### 引用[.reference_title] - *1* [【Tomcat】Tomcat多个版本存在拒绝服务漏洞](https://blog.csdn.net/cnskylee/article/details/129159681)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Apache Commons FileUpload & Apache Tomcat拒绝服务漏洞解决方案](https://blog.csdn.net/bocco/article/details/129184302)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值