当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Apache Tomcat拒绝服务漏洞(CVE-2014-0230)

     发表日期:2015-05-08 10:09:10

Apache Tomcat拒绝服务漏洞(CVE-2014-0230)
CVE-ID:CVE-2014-0230
发布日期:2015-05-04
更新日期:2015-05-06
受影响系统:
Apache Group Tomcat 8.0.0-RC1 - 8.0.8
Apache Group Tomcat 7.0.0 - 7.0.54
Apache Group Tomcat 6.0.0 - 6.0.43
详细信息:
 
Apache Tomcat是一个流行的开源JSP应用服务器程序。
 
 
 
未读完请求体,即将对该请求的响应返回给用户代理后,Tomcat默认会信任剩下的请求体,接着处理连接上的下一个请求。Tomcat对信任的请求体大小没有限制。Tomcat不会关闭连接,处理线程也会保持连接,这可导致有限的拒绝服务。
 
 
来源:
AntBean@secdig
解决办法:
厂商补丁:
 
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
 
 
 
 
[1] http://tomcat.apache.org/security-8.html
 
[2] http://tomcat.apache.org/security-7.html
 
[3] http://tomcat.apache.org/security-6.html
 
[4] http://www.openwall.com/lists/oss-security/2015/04/10/1