Tomcat和Hashtable 碰撞拒绝服务漏洞
2023-03-15 21:58:06 时间
之前你可能听说过关于 Java 中的哈希表实现上的漏洞,现如今因为 Tomcat 使用了哈希表来存储 HTTP 请求参数,因此也受此问题影响。目前为止,Oracle 尚未为该问题提供补丁。
为此 Tomcat 实现了一个变通的做法,提供一个新的选项 maxParameterCount 用来限制但请求中***的参数数量,该参数默认值是 10000,这对多数应用程序来说已经足够,这个值也足够用来绕过 JRE 中的哈希表的 bug。
目前该变通方法将会在以下版本中实现:
trunk
7.0.23 onwards
6.0.35 onwards
该方法也将在即将发布的 5.5.35 版本中实现。
如果你正在使用早期的 Tomcat 版本,没有 maxParameterCount 属性,那么可以通过限制 maxPostSize 到 10kb 以下来解决这个问题。
尽管这不是 Tomcat 本身的bug,但 Tomcat 安全团队还是发布了该消息并告知潜在的问题。
关于此漏洞的更详细信息请看:
http://www.nruns.com/_downloads/advisory28122011.pdf
原文链接:http://www.oschina.net/news/24418/tomcat-hashtable-collision-dos-vulnerability
【编辑推荐】
相关文章
- Java核心技术 卷Ⅰ 基础知识(原书第10版)
- Java程序员的十个调试技巧
- Maven实战1.1何为Maven
- Maven实战. 1.2为什么需要Maven
- Maven实战. 1.3Maven与极限编程
- Maven实战 1.4被误解的Maven
- Mavens实战 1.5小结
- Maven实战. 2.1在Windows上安装Maven
- Maven实战. 2.3安装目录分析
- Maven实战. 2.4设置HTTP代理
- Maven实战. 2.5安装m2eclipse
- Maven实战. 2.6安装NetBeans Maven插件
- Maven实战. 2.7Maven安装最佳实践
- Maven实战. 2.8小结
- Maven实战. 3.1编写POM
- Maven实战. 3.2编写主代码
- Maven实战. 3.3编写测试代码
- Maven实战. 3.4打包和运行
- Maven实战. 3.5使用Archetype生成项目骨架
- Maven实战. 3.6m2eclipse简单使用