Hitach Incident Response Team

 2014年2月10日、JVNから、「Apache Commons FileUploadにおけるサービス運用妨害(DoS)の脆弱性」が公開されました。この脆弱性(CVE-2014-0050)は、不正なContent-Typeを含むマルチーパート形式のデータを処理すると、Apache Commons FileUploadが無限ループに入るために、サービス運用妨害(DoS)の状態に陥る可能性があるというものです。

 この脆弱性は、HIRTから情報セキュリティ早期警戒パートナーシップに報告したもので、対応経緯は図1の通りです。対策検討中に、製品開発者が脆弱性関連情報メールをオープンなエリアに流してしまうというアクシデントがあり、製品開発者側で、急遽アドバイザリーを作成し発信するという対応がなされました。

図1●脆弱性(CVE-2014-0050)の対応経緯
図1●脆弱性(CVE-2014-0050)の対応経緯

 さて、ここからは、2月16日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。