[CVE-2014-0050] Apache Commons FileUpload & Apache Tomcat DoS

( 1 ) 취약점 정보

Apache Tomcat 파일 업로드 모듈인 FildUpload 의 MultipartStream 클래스 코드 취약점으로 특정 조건으로 인한 무한 루프가 발생하여 서비스 거부 공격이 가능함.
HTTP 헤더의 Content-Type 필드에 값을 변조할 경우 MultipartStream 클래스 코드의 무한 루프가 발생하여 서버측에서 DoS 가 발생됨.

( 2 ) Content-Type 필드

Content-Type 이란 말 그대로 사용자 요청과 응답 메시지 타입을 뜻하며 크게 Discete-Type 과Composite-Type 으로 나뉨.

문법은 다음과 같은 형태로 가짐.

형식	Content-Type : text/plain; charset=us-ascii
설명	[필드명] : [타입]/[서브타입] ; [파라미터]

Discrete-Type : 그 자체로 어떤 의미를 가지고 있는 Content-Type 를 나타냄.
ex. "text" / "image" / "audio" / "video" / "application"

Composite-Type : Discrete-Type 혹은 Composite-Type 의 개체 여러 개가 복합되어 만들어진 타입을 나타냄.
ex. "message" / "multipart"

MIME Type 참고 사이트 : http://www.iana.org/assignments/media-types/index.html

( 3 ) 취약한 MultipartStream 클래스 코드

MultipartStream 클래스 위치는 아래와 같으며 Java Decompiler 툴(JD-GUI)로 이용하여MultipartStream 클래스 코드를 확인할 수 있음.
위치 : tomcat 폴더 -> lib 폴더 -> tomcat-coyote.jar 파일 -> org.apache -> tomcat -> util -> http -> fileupload -> util -> MultipartStream 클래스
JD-GUI 툴 다운로드 : http://jd.benow.ca/

< 취약한 MultipartStream 클래스 일부 코드(Apache Tomcat 7.0.42 버전에서 발췌) >

< 패치된 MultipartStream 클래스 일부 코드(Apache Tomcat 7.0.53 버전에서 발췌) >

< for문 코드 - 특정 상황에 대한 검사 코드(취약한 코드와 패치된 코드에서 공동으로 존재) >

첫 번째 그림은 취약한 MultipartStream 클래스 일부 코드이고 두 번째 그림은 패치된MultipartStream 클래스 일부 코드이며 세 번째 그림의 for문 코드는 특정 상황에 대한 검사 코드(취약한 코드와 패치된 코드에서 공동으로 존재)임.

Content-Type 필드의 boundary 파라미터는 전달할 인자들을 구분하기 위한 경계값으로 위 취약한 코드에서는 boundary 파라미터의 길이에 대한 검사가 이루어지지 않아 for 문 코드에서 if 문 중 하나라도 선택되지 않아 무한 루프가 발생됨.
정확히 말하면 boundary 파라미터의 길이가 4091 바이트보다 크고 HTTP Body 헤더가 4096 바이트보다 클 경우 if 문 중 하나라도 선택되지 않아 무한 루프가 발생됨.

boundary 파라미터 최대값은 4091 임.
boundary.length > bufSize - 1 - BOUNDARY_PREFIX.length = 4096 - 1 - 4 = 4091

위 패치된 코드에서 boundary 파라미터의 길이에 대한 검사 조건(버퍼 사이즈보다 클 경우 예외처리)가 추가됨.

( 4 ) 공격 시연