Apache Tomcat Slowloris工具拒绝服务漏洞
Apache Tomcat Slowloris工具拒绝服务漏洞
发布日期:2012-11-26
更新日期:2012-11-29
受影响系统:
Apache Group Tomcat 7.x
Apache Group Tomcat 6.x
Apache Group Tomcat 5.x
Apache Group Tomcat 5.x
Apache Group Tomcat 3.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 56686
CVE(CAN) ID: CVE-2012-5568
Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。Slowloris是低带宽拒绝服务攻击工具。
Apache Tomcat在实现上存在安全漏洞,远程攻击者可利用Slowloris工具造成拒绝服务攻击。
<*来源:David Jorm
链接:https://bugzilla.redhat.com/show_bug.cgi?id=880011
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
1. 通过server.xml内定义的连接器的connectionTimeout属性,配置一个合适的超时时间。
2. 配置防火墙相关设置
参考与该漏洞相类似的一个漏洞的防护方法的相关讨论,见
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2007-6750
厂商补丁:
Apache Group
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://jakarta.apache.org/tomcat/index.html
评论暂时关闭