Apache Commons FileUpload不安全临时文件创建漏洞(CVE-2013-0248)
2013-03-11 09:31
866 查看
漏洞版本:
Apache Group Commons FileUpload 1.0 - 1.2.2 Apache Group Commons FileUpload
漏洞描述:
BUGTRAQ ID: 58326 CVE(CAN) ID: CVE-2013-0248 Apache Commons FileUpload软件包可以向小服务程序和Web应用添加高性能的文件上传功能。 Apache Commons FileUpload v1.0 - 1.2.2在上传文件过程中,会将上传的文件临时存在磁盘上,默认的位于系统的tmp目录内。因为临时文件具有可预测的文件名,并存储在可公开写入的位置,这就易于受到TOCTOU攻击。成功攻击需要攻击者对tmp目录具有写访问权限。将存储位置设在不能公开写入的位置,可以防止此攻击。
<* 参考
*>
安全建议:
厂商补丁: Apache Group ------------ 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://commons.apache.org/proper/commons-fileupload/[/code]
相关文章推荐
- apache commons fileupload 安全漏洞(2016-07-01更新)
- org.apache.commons.fileupload上传临时文件删除方法2则
- apache commons fileupload 手记删除临时文件及优化速度
- Apache Commons FileUpload实现多文件上传
- Struts2中文件过大上传失败问题解决方案org.apache.commons.fileupload.FileUploadBase$SizeLimitExceededException
- Apache Commons fileUpload实现文件上传
- 使用apache.commons.fileupload等进行文件上传
- JavaWeb实现文件上传下载功能实例解析------apache.commons.fileupload
- Struts2上传文件报错Unable to parse request org.apache.commons.fileupload.FileUploadBase$IOFileUploadExcept
- Nagios Core 不安全临时文件创建漏洞
- 用org.apache.commons.fileupload上传文件获取其他参数
- servlet文件上传(工具类apache.commons.fileupload)
- Apache Commons fileUpload实现文件上传
- 上传文件出错:org.apache.commons.fileupload.FileUploadBase$IOFileUploadException: Processing of multipart/form-data request failed. Stream ended unexpectedly
- Apache Commons fileUpload实现文件上传
- Apache Commons fileUpload实现文件上传
- Springmvc 利用apache.commons.fileupload上传文件
- Apache Commons fileUpload实现文件上传
- (上传文件错误)java.lang.NoClassDefFoundError: org/apache/commons/fileupload/FileItemFactory
- Apache Commons fileUpload实现文件上传