[asrc-公告]J2EE框架DDoS漏洞预警公告
公告编号:ASRC-2014-4
公告来源:阿里巴巴集团安全应急响应中心
公告日期:2014-3-10
公告内容:
J2EE框架DDoS漏洞预警
| 已确认被成功利用的软件及系统 | 大部分常见J2EE WEB框架
STRUTS1全版本(只影响使用uploadform的action) STRUTS2全版本(任何一个action都受影响) Spring MVC全版本(任何一个controller都受影响)所有使用了apache commons fileupload的组件的应用,包括纯JSP页面 Commons FileUpload 1.0 to 1.3部分服务器自带了upload组件,可以直接让JSP调用 Apache Tomcat 8.0.0-RC1 to 8.0.1 Apache Tomcat 7.0.0 to 7.0.50 JBOSS由于重用tomcat源码所以受到影响 |
| 漏洞描述 | Apache Commons FileUpload 1.3在处理mime-multipart请求时,攻击者可以构造一个包含异常http头的请求,使得apache fileupload进入无限循环,导致CPU爆满,从而发起拒绝服务攻击。
PID COMMAND %CPU8070 mdworker 1.3 8069 sleep 0.0 8066 top 11.2 8064 java 101.2 这个漏洞可以用于攻击大多数J2EE框架,常见J2EE框架,总会默认使用FileUpload组件,并且在所有用户代码前完成上传文件的预处理,这导致无论开发者是否手工调用该组件,都会默认执行。 此漏洞的POC已经被攻击者发布,请尽快修补该问题,以免造成损失。 ps:如果运维过程中,发现CPU无故飙升,可以优先考虑这个因素。 |
| 漏洞检测方法 | Commons FileUpload小于1.3.1 |
| 建议修补方案 | 升级Apache Commons FileUpload 1.3.1 或之后版本
升级Apache Tomcat 8.0.2 或之后版本 升级 Apache Tomcat 7.0.51 或之后版本 详情参考: http://markmail.org/message/kpfl7ax4el2owb3o http://tomcat.apache.org/security-8.html http://tomcat.apache.org/security-7.html |