(JVN#14876762, JVNDB-2014-000017, CVE-2014-0050)
업데이트 : 2014 년 2 월 19 일
광범위한 영향을 미칠 수있는 취약점의 경우 정보 보안 조기 경보 파트너십 시스템을 사용하여 JVN (Japan Doverability Notes)에 의해 노출 된 취약성 처리를 촉진하고 있습니다.
수많은 스포츠수많은 스포츠토토 사이트 사이트 Commons FileUpload는 HTTP 요청을 구속하는 처리에서 서비스 거부 (DOS) 공격을 허용하는 취약성 (JVN#14876762, JVNDB-2014-000017, CVE-2014-0050)을 가지고 있습니다.
기본 가치 : 5.0
공격 소스 분류 : 네트워크
공격 조건 복잡성 : 낮음
공격 전에 필요한 인증 : 필요 없음
기밀성 영향 (C) : 없음
무결성에 미치는 영향 (i) : 없음
가용성 영향 (a) : 부분
현재 가치 : 3.9 (2014 년 2 월 12 일 기준)
공격 가능성 : 시연
가용 수준의 수준 : 공식 조치
취약성 정보 신뢰성 : 개발자가 정보를 확인했습니다
+ 수많은 스포츠토토 사이트 Commons FileUpload 1.0 ~ 1.3
+ 수많은 스포츠토토 사이트 Tomcat 8.0.0-rc1 ~ 8.0.1
+ 수많은 스포츠토토 사이트 Tomcat 7.0.0 ~ 7.0.50
+ Commons FileUpload를 사용한 제품
수많은 스포츠토토 사이트 Tomcat 7 및 수많은 스포츠토토 사이트 Tomcat 8 수많은 스포츠토토 사이트 Commons FileUpload를 구성 요소로 사용하여 데이터 파트 형식으로 데이터를 처리합니다.
잘못된 콘텐츠 유형으로 멀티 파트 형식 데이터를 처리하면 수많은 스포츠토토 사이트 Commons FileUpload가 무한 루프에 들어가면 서비스 거부 (DOS)에 속할 수 있습니다.
수많은 스포츠토토 사이트 Software Foundation에서 발표 한 고정 버전으로 업데이트하십시오.
이 취약점을 다루는 과정에서 제품 개발자는 취약성 관련 정보 이메일을 개방형 지역으로 보냈으며 [*1].
2013 년 11 월 21 일 : 수많은 스포츠토토 사이트 Commons의 취약성 확인 FileUpload
2013 년 12 월 2 일 : 정보 보안에보고하여 조기 경고 파트너십 (그림 1)
2013 년 12 월 4 일 : IPA에서 발생하는 문제의 재생 환경 및 문제의 위치에 대한 문의를받습니다
2013 년 12 월 6 일 : 재생산 환경에 대한 정보에 대한 답변
2013 년 12 월 9 일 : 문제가 발생한 위치에 대한 정보
2013 년 12 월 25 일 : IPA로부터 알림 정보를 받았습니다
2014 년 1 월 9 일 : 시작 날짜와 관련하여 IPA로부터 알림 받기 [**]
2014 년 2 월 6 일 01 : 45+00 : 00 : org.수많은 스포츠토토 사이트.commons.dev에 게시 [*1]
2014 년 2 월 6 일 11 : 37+00 : 00 : 수많은 스포츠토토 사이트 Software Foundation의 자문 제출 [*2]
2014 년 2 월 7 일 : 조정 기관 (JPCERT/CC) 및 리셉션 기관 (IPA)
2014 년 2 월 10 일 : 취약성 정보에 대한 JVN [*3]
그림 1 : 정보 보안 조기 경보 파트너십
책임 : Terada, Numata, Onishi/Hirt
글로벌 부호 :
중요한 전자 문서의 디지털 서명. 홍보에도 유용합니다
