Tomcat和Hashtable 碰撞拒绝服务漏洞

开发 后端
我们都知道Tomcat是通过了哈希表来储存HTTP请求参数的,目前关于Java中的哈希表实现上的漏洞,Tomcat因此受到影响。那么,Tomcat将如何解决这个问题?请详细阅读下文。

之前你可能听说过关于 Java 中的哈希表实现上的漏洞,现如今因为 Tomcat 使用了哈希表来存储 HTTP 请求参数,因此也受此问题影响。目前为止,Oracle 尚未为该问题提供补丁。

[[54832]]

为此 Tomcat 实现了一个变通的做法,提供一个新的选项 maxParameterCount 用来限制但请求中***的参数数量,该参数默认值是 10000,这对多数应用程序来说已经足够,这个值也足够用来绕过 JRE 中的哈希表的 bug。

目前该变通方法将会在以下版本中实现:

trunk

7.0.23 onwards

6.0.35 onwards

该方法也将在即将发布的 5.5.35 版本中实现。

如果你正在使用早期的 Tomcat 版本,没有 maxParameterCount 属性,那么可以通过限制 maxPostSize 到 10kb 以下来解决这个问题。

尽管这不是 Tomcat 本身的bug,但 Tomcat 安全团队还是发布了该消息并告知潜在的问题。

关于此漏洞的更详细信息请看:

http://www.nruns.com/_downloads/advisory28122011.pdf

原文链接:http://www.oschina.net/news/24418/tomcat-hashtable-collision-dos-vulnerability

【编辑推荐】

  1. 将Eclipse RAP部署到Tomcat中
  2. Tomcat运行Java Web内存溢出总结
  3. 浅析Tomcat NIO 配置
  4. Apache Tomcat 6.0.35 发布 附下载
  5. Hudson+Ant+SVN+Tomcat配置详解
责任编辑:林师授 来源: 开源中国社区
相关推荐

2012-01-18 11:02:37

Tomcat

2011-03-03 11:26:09

2013-05-17 10:43:32

2009-10-22 11:28:38

2009-10-24 10:29:56

2009-10-27 14:17:49

2009-10-29 13:24:41

2010-07-16 15:01:53

2009-10-25 12:40:29

2009-10-21 14:31:15

漏洞补丁

2010-01-12 11:58:14

Cisco防火墙拒绝服务漏洞

2009-10-22 11:36:55

漏洞补丁

2010-10-09 14:59:30

2017-02-16 14:22:24

2009-10-28 10:36:38

2009-02-03 09:06:26

2010-10-08 12:21:22

2010-09-14 16:54:16

2017-03-20 16:35:36

2009-07-01 09:22:33

点赞
收藏

51CTO技术栈公众号