Apache Tomcat Slowloris工具拒绝服务漏洞

发布日期:2012-11-26
更新日期:2012-11-29

受影响系统:
Apache Group Tomcat 7.x
Apache Group Tomcat 6.x
Apache Group Tomcat 5.x
Apache Group Tomcat 5.x
Apache Group Tomcat 3.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 56686
CVE(CAN) ID: CVE-2012-5568

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。Slowloris是低带宽拒绝服务攻击工具。

Apache Tomcat在实现上存在安全漏洞,远程攻击者可利用Slowloris工具造成拒绝服务攻击。

<*来源:David Jorm
 
  链接:https://bugzilla.redhat.com/show_bug.cgi?id=880011
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

1. 通过server.xml内定义的连接器的connectionTimeout属性,配置一个合适的超时时间。
2. 配置防火墙相关设置
参考与该漏洞相类似的一个漏洞的防护方法的相关讨论,见
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2007-6750

厂商补丁:

Apache Group
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wydfps.html