Java哈希冲突拒绝服务漏洞
Java哈希冲突拒绝服务漏洞
发布日期:2012-01-03
更新日期:2012-01-04
受影响系统:
Sun JDK 1.x
Sun JRE 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 51236
CVE ID: CVE-2011-4838
Java是一种可以撰写跨平台应用软件的面向对象的程序设计语言。
Java使用了哈希表来映射关键值到相关条目。如果哈希表包含不同键的条目,而这些条目又映射到同一哈希值,则会出现哈希冲突。如果攻击者生成了许多包含冲突键值的请求,则应用就会执行哈希表单查找操作,造成拒绝服务。
<*来源:Alexander Klink (a.klink@cynops.de)
链接:http://www.kb.cert.org/vuls/id/903934
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
限制单个请求的处理时间可降低恶意请求的影响;
限制POST请求的大小可降低冲突的可能。
限制每个请求的参数。
厂商补丁:
Sun
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://sunsolve.sun.com/security
评论暂时关闭