返回公告主页

我们希望能够借助集体的力量提升我们的安全水平 

J2EE框架DDoS漏洞预警公告


公告编号:ASRC-2014-4

公告来源:阿里巴巴集团安全应急响应中心

公告日期:2014-3-10

公告内容:

 

J2EE框架DDoS漏洞预警






  已确认被成功利用的软件及系统

  大部分常见J2EE WEB框架
  STRUTS1全版本(只影响使用uploadform的action)
  STRUTS2全版本(任何一个action都受影响)
  Spring MVC全版本(任何一个controller都受影响)

  所有使用了apache commons fileupload的组件的应用,包括纯JSP页面
  Commons FileUpload 1.0 to 1.3

  部分服务器自带了upload组件,可以直接让JSP调用
  Apache Tomcat 8.0.0-RC1 to 8.0.1
  Apache Tomcat 7.0.0 to 7.0.50
  JBOSS由于重用tomcat源码所以受到影响






漏洞描述

 Apache Commons FileUpload 1.3在处理mime-multipart请求时,攻击者可以构造一个包含异常http头的请求,使得apache fileupload进入无限循环,导致CPU爆满,从而发起拒绝服务攻击。
PID   COMMAND   %CPU

8070   mdworker     1.3
8069   sleep           0.0
8066   top             11.2
8064   java            101.2

  这个漏洞可以用于攻击大多数J2EE框架,常见J2EE框架,总会默认使用FileUpload组件,并且在所有用户代码前完成上传文件的预处理,这导致无论开发者是否手工调用该组件,都会默认执行。
  此漏洞的POC已经被攻击者发布,请尽快修补该问题,以免造成损失。
  ps:如果运维过程中,发现CPU无故飙升,可以优先考虑这个因素。

漏洞检测方法  Commons FileUpload小于1.3.1


建议修补方案
 升级Apache Commons FileUpload 1.3.1 或之后版本
 升级Apache Tomcat 8.0.2 或之后版本
 升级 Apache Tomcat 7.0.51 或之后版本
 详情参考:
  http://markmail.org/message/kpfl7ax4el2owb3o
  http://tomcat.apache.org/security-8.html http://tomcat.apache.org/security-7.html