Apache Tomcat NIO连接器拒绝服务漏洞
Apache Tomcat NIO连接器拒绝服务漏洞
发布日期:2012-12-04
更新日期:2012-12-06
受影响系统:
Apache Group Tomcat 7.0.0 - 7.0.29
Apache Group Tomcat 6.0.0 - 6.0.35
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 56813
CVE(CAN) ID: CVE-2012-4534
Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。
Tomcat 7.0.0-7.0.27、Tomcat 6.0.0-6.0.35在使用开启了sendfile和HTTPS的NIO连接器时,若客户端请求较大的静态文件,并在读取响应的过程中切断与服务器的连接,会在服务器端产生死循环,导致拒绝服务。
<*来源:Arun Neelicattu
链接:3C50BE535A.9000600@apache.org%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/tomcat-announce/201212.mbox/%3C50BE535A.9000600@apache.org%3E
https://issues.apache.org/bugzilla/show_bug.cgi?id=52858
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://jakarta.apache.org/tomcat/index.html
评论暂时关闭