Apache Tomcat参数处理拒绝服务漏洞

漏洞起因
异常条件处理失败错误
危险等级

影响系统
Apache Software Foundation Tomcat < 7.0.23
Apache Software Foundation Tomcat < 5.5.35
Apache Software Foundation Tomcat < 6.0.33

不受影响系统

危害
远程攻击者可以利用漏洞使服务崩溃。

攻击所需条件
攻击者必须访问Apache Tomcat。

漏洞信息
Apache Tomcat是一款开放源码的JSP应用服务器程序。
最近的哈希碰撞漏洞分析时发现另外一个问题,Apache Tomcat处理大量参数和参数值存在低效问题,这些低效问题允许攻击者通过特制的请求使服务程序消耗大量CPU,而最终触发一个拒绝服务条件。

测试方法

厂商解决方案
Apache Software Foundation Tomcat 7.0.23、5.5.35和6.0.33已经修复此漏洞,建议用户下载使用:
http://tomcat.apache.org/

漏洞提供者
Andrea Micalizza aka rgod, working with ZDI.

评论关闭。