Apache Commons Fileupload拒绝服务漏洞(CVE-2023-24998)处置标准作业程序(SOP)

发布于 作者:

Apache Commons Fileupload拒绝服务漏洞(CVE-2023-24998)处置标准作业程序(SOP)

原创 LK 方桥安全漏洞防治中心 2025-02-05 07:01

01

SOP基本信息

  • SOP名称:Apache Commons Fileupload拒绝服务漏洞(CVE-2023-24998)处置标准作业程序(SOP)

  • 版本:1.0

  • 发布日期:2025-1-22

  • 作者:LK

  • 审核人:T小组

  • 修订记录:

  • 初始版本:创建SOP

02

SOP的用途

本SOP旨在指导系统管理员安全、高效地处置Apache Commons Fileupload拒绝服务漏洞(CVE-2023-24998),确保在规定时间内完成漏洞修复并提交给安全部门验证,保障系统安全。

03

SOP的目标用户技能要求

  • 具备 Java 开发基础知识

  • 熟悉 Apache Commons Fileupload 库的使用场景

  • 掌握服务器配置修改以及应用程序部署和更新的基本操作

  • 熟悉Apache Tomcat的配置文件及部署过程

04

漏洞详细信息

  • 漏洞名称:Apache Commons Fileupload拒绝服务漏洞

  • CVE编号:CVE-2023-24998

  • 漏洞类型:拒绝服务

  • 风险等级:高危

  • CVSS评分:7.5

  • 漏洞描述:

  • 影响范围:

  • Apache Commons FileUpload版本1.0 – 1.4

  • Apache Tomcat 版本11.0.0-M1

  • Apache Tomcat 版本10.1.0-M1 – 10.1.4

  • Apache Tomcat 版本9.0.0-M1 – 9.0.70

  • Apache Tomcat 版本8.5.0 – 8.5.84

05

漏洞处置方案

  • 目前该漏洞已经修复,受影响用户可及时升级到以下版本:

  • Apache Commons Fileupload:

  • Apache Tomcat:

【注意事项】

  • 该漏洞已在Apache
    Commons FileUpload版本 >=
    1.5中修复,但新配置选项(FileUploadBase#setFileCountMax)
    默认情况下未启用,必须明确配置,需要调用setFileCountMax方法来限制文件数量。

  • 在进行任何修复操作之前,务必备份所有重要数据和配置文件。

  • 升级或补丁应用过程中应尽量减少对业务的影响,尽量在维护窗口内完成所有操作。

  • 遵循官方提供的安装和配置指南进行操作。

  • 在生产环境中升级前,最好在测试环境中先进行测试。

  • 修复漏洞前进行充分测试,以确保系统稳定性和安全性。

06

漏洞修补详细步骤

以下是针对Apache Commons Fileupload拒绝服务漏洞(CVE-2023-24998)的漏洞处置可操作执行的具体步骤:

(一)备份相关文件和数据

  1. 确定与Apache Commons FileUpload相关的项目文件和配置所在的目录,这可能需要查看项目的构建文件(如Maven的pom.xml或Gradle的build.gradle等)或者应用程序的部署文档。

  2. 使用文件备份工具(如在Linux系统下可以使用 cp -R 命令或者创建压缩包 tar -zcvf)对整个项目目录或者至少对包含Apache Commons FileUpload相关文件的文件夹进行备份。例如,如果项目部署在 /var/www/myproject 目录下,并且确定FileUpload相关文件在 lib 目录下,可以执行以下备份命令:

(二)确认当前版本

  1. 确认Apache Commons FileUpload版本

  2. 在项目的构建文件(如Maven的pom.xml)中查找Apache Commons FileUpload的依赖声明部分,确认当前使用的版本是否在1.0 – 1.4之间。例如,在pom.xml中可能会有如下声明:

  8. 如果你的Spring Boot项目是一个可执行的jar文件,直接找到这个文件,使用文件压缩工具解压jar文件,解压后会看到BOOT-INF目录,其中的lib文件夹包含了所有的依赖库,通过查看lib文件夹下的文件名查看版本号,例如:commons-fileupload-1.3.jar中的1.3就是Apache Commons FileUpload的版本号。

  9. 确认Apache Tomcat版本

  10. linux环境中运行以下命令:

  12. windows环境中执行以下命令:

  14. 检查输出的 Server version 字段,确认当前运行的 Tomcat 版本是否在受影响范围内。

(三)升级版本

  1. 升级Apache Commons FileUpload版本

  2. 如果使用Maven构建项目

  8. 如果使用Gradle构建项目

  12. 升级Apache Tomcat 版本(以linux环境为例)

(四)验证与测试阶段

  1. 将升级后的项目部署到测试环境,测试环境应尽可能模拟生产环境的配置。

  2. 对文件上传功能进行全面的测试,包括上传不同类型、大小的文件,确保文件上传功能正常工作,并且没有引入新的问题。

  3. 检查项目中的其他功能是否受到影响,特别是与文件上传功能有交互关系的模块,如文件存储、文件处理、权限管理等功能。

  4. 如果在测试过程中发现问题,需要根据问题的类型进行修复,可以是调整配置、修改代码逻辑等。如果问题是由于升级版本引起的兼容性问题,可以参考Apache Commons FileUpload的官方文档或者社区论坛寻求解决方案。

(五)记录处置过程

撰写漏洞处置报告,详细记录修补步骤、日期和结果。

(六)提交报告

将漏洞处置报告提交给安全部门,等待验证和确认。

请注意,以上步骤可能因系统环境和具体配置而有所不同。在执行任何修复操作之前,请确保已充分了解系统的实际情况,并谨慎操作以避免对系统造成不必要的影响。

07

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2023-24998

https://commons.apache.org/proper/commons-fileupload/security-reports.html

https://tomcat.apache.org/security-10.html

关注回复“
24998
”添加运营助手领取PDF版