BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

严重的拒绝服务漏洞影响多数网络服务器

| 作者 Jonathan Allen 关注 595 他的粉丝 ,译者 姚九强 关注 0 他的粉丝 发布于 2012年1月16日. 估计阅读时间: 2 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

安全研究员Alexander Klink和Julian Walde发现了一个严重的漏洞,这个漏洞影响到大多数网络服务器。针对这个漏洞的攻击只需要一个HTTP请求,这个特殊设定的请求在提交表单数据时造成哈希碰撞。当发现时,这个攻击影响到Python、Ruby、PHP、Java和ASP.NET,目前厂商正在和研究人员合作发布补丁。

Tomcat发布了7.0.23和6.0.35两个版本,通过限制POST表单字段数量最大值不超过10000,来解决这个问题。变更记录说明这个最大值是可配置的,但没提供细节。

ASP.NET的补丁于12月29日发布。使用默认服务策略的Windows Azure客户会自动更新该补丁。该补丁同样限制了单个请求中的POST表单字段数量,为每个请求1000字段,比需要发动拒绝服务攻击所需的数量小很多。通过appSetting键值“aspnet:MaxHttpCollectionKeys”可以配置表单字段数量。目前,这个配置只能应用于全网站范围,但也有针对页面覆写这个配置的需求。还修复了一个针对JSON输入和反序列化逻辑的相关缺陷。

PHP候选发布版5.4.0也提供了max_input_vars指令。发布说明没有提到默认值。

截止目前,我们提到的所有厂商都在网络服务器端,通过限制单请求的字段数量,解决了这个问题。另一个选择是采用随机的字符串哈希公式。Ruby就是这样的语言。.NET也实现同样的功能,但只限于内部版本。产品发布目前有一个集合公式,但考虑到这个问题的严重性,可能会在下一次CLR升级的时候有所改变。对于Java来说这不是很容易,JVM规定了字符串的哈希公式,以保证开发人员在所有版本上都可以信赖它。

Oracle Glassfish的更新据信也已完成,但还没有发布。也没有公布解决这个问题方式的任何信息。

更多关于这个问题的信息可以在Ars TechnicaChaos Communication Congress网站上找到。

查看英文原文:Major Denial of Service Vulnerability Affects Most Web Servers

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

Good by Zhao Todd

It's very good .
解決了當前的問題。

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

1 讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT