Apache曝HashTable碰撞拒绝服务漏洞,Java、PHP、Asp.Net及v8引擎等都受影响

最新推荐文章于 2024-10-01 18:22:37 发布
最新推荐文章于 2024-10-01 18:22:37 发布
阅读量849 收藏
点赞数
文章标签: apache asp.net java php 引擎 tomcat
Apache Tomcat团队近日发布了一个 安全公告 ,提示用户注意一个Java哈希表(HashTable)中的拒绝服务漏洞。 


这一漏洞名为Denial of Service through hash table multi-collisions(通过对哈希表使用多碰撞技术实现拒绝服务),已由安全研究公司N.runs发布。目前, 包括Java在内的众多语言,如PHP5、Asp.Net以及v8 JavaScript引擎等都存在该漏洞;PHP4、Python及Ruby则因版本不同或可能受影响,取决于服务器代码运行于32位或64位机器。Perl及CRuby 1.9不受其影响。  

Apache Tomcat表示,由于Tomcat中使用了哈希表来存储HTTP请求参数,因此将受该漏洞影响。鉴于Oracle表态不会在JRE中对该漏洞进行修复(但将提供一个新的GlassFish服务器版本),因此Apache提供了一个变通方案。 

Apache的方案是在Tomcat中增加一个新的选项maxParameterCount,用来限制单个请求中的最大参数量。参数默认值设为10000,确保既不会对应用程序造成影响(对多数应用来说已经足够),也足以减轻DoS攻击的压力。 

目前,这一解决方法在Tomcat  7.0.23 6.0.35 版本中业已实现;即将发布的5.5.35中也会应用这一方案。另外,Tomcat表示,若使用早期版本的Tomcat,可以通过限制maxPostSize大小为10KB左右来解决此问题。 

关于此漏洞的详细信息: http://www.nruns.com/_downloads/advisory28122011.pdf 。 
漂泊那几年
关注
asp.net 实现自定义Hashtable (.net)
10-29
在***中实现自定义的Hashtable,我们可以利用.NET框架提供的ArrayList类来完成。ArrayList类是.NET框架中的一个通用集合类,它能够存储任意类型的对象。通过将ArrayList与自定义对象结合使用,我们可以构建自己的...
asp.net Hashtable 遍历写法
10-30
ASP.NET中,`Hashtable`是一个非常常用的集合类,它是一个无序的键值对(Key-Value Pair)集合,可以存储任何类型的对象。`Hashtable`是基于哈希表实现的,因此它提供了快速的查找性能。在处理大量数据或者需要...
Apache Tomcat哈希碰撞拒绝服务漏洞解决办法 or More than the maximum number of request parameters (GET plus POST)
IT小黑
11-24 7993
问题现象:从一个jsp页面A跳转(post请求)到另一个jsp页面B时间,由于数据量过大,B页面显示的记录数比A页面记录数少了很多,开始认为是代码的问题,仔细反编译服务器的文件,没有问题,原来调试方向错误,换角度考虑之后,想到tomcat在前段时间发布的漏洞,而这个问题就是以下这个漏洞引起的,在这里给大家分享一下 出现这个问题时间,控制台一般会有以下警告,这个时间你就更加确定的继续看下文
TomcatTomcat多个版本存在拒绝服务漏洞
cnskylee的博客
02-22 7160
Apache Tomcat使用Apache Commons FileUpload的打包重命名副本 提供 Jakarta Servlet 中定义的文件上传功能 规范。因此,Apache Tomcat也容易Apache 共享资源文件上传漏洞。为 处理的请求部件数量没有限制。这 导致攻击者可能触发 DoS 恶意上传或一系列上传。拒绝服务漏洞(DoS)2022年12月11日。
Apache Tomcat哈希碰撞拒绝服务漏洞解决办法
Watson的码步
08-09 998
  起因: Wed, 28 Dec 2011 22:28:16 GMT apache tomcat公布了一个安全漏洞。 http://mail-archives.apache.org/mod_mbox/www-announce/201112.mbox/%3C4EFB9800.5010106@apache.org%3E   漏洞原理:       在多数web容器的...
Tomcat两个引擎是什么?
liuji0517的博客
03-20 272
还有eclipse运行web项目部署到Tomcat哪个文件夹下面?我说webapps,他说不是,到底是哪啊?面的我懵逼了 为何问这个,你当然可以运行在webapps下,eclipse里也可以指定目录的 他问我,eclipse运行web项目,会部署到Tomcat哪个文件夹下? eclipse默认的是工作空间下.metadata\.plugins\org.eclipse.wst.server.c...
ApacheHashTable碰撞拒绝服务漏洞
lddongyu
06-29 2651
ApacheHashTable碰撞拒绝服务漏洞JavaPHPAsp.Netv8引擎等都影响      Apache Tomcat 团队近日发布了一个安全公告,提示用户注意一个 Java 哈希表(HashTable)中的拒绝服务漏洞。   (来自:湖北教育考试网)   这一漏洞名为 Denial of Service through hash table multi-col
[解析]Hash碰撞的拒绝式服务攻击
Yatere的天平秤
01-07 1746
最近,除了国内明文密码的安全事件,还有一个事是比较大的,那就是Hash Collision DoS (Hash碰撞的拒绝式服务攻击),有恶意的人会通过这个安全弱点会让你的服务器运行巨慢无比。这个安全弱点利用了各语言的Hash算法的“非随机性”可以制造出N多的value不一样,但是key一样数据,然后让你的Hash表成为一张单向链表,而导致你的整个网站或是程序的运行性能以级数下降(可以很轻松的让你的
Hash碰撞拒绝服务攻击
Yatere的天平秤
01-07 1033
文/玄魂 1.Hash与Hash碰撞        Hash,简单来讲,是一种将任意长度的输入变换成固定长度的输出,固定长度的输出在“实际应用场景”下可以代表该输入。Hash函数通常被翻译成散列函数。Hash通常用来校验信息的一致性。 Hash函数的实现多种多样,在安全领域应用最为广泛的是SHA-x系列和MDx系列。Hash函数也划分为带密钥的Hash函数和不带密钥的Hash函数
【转载】网络攻击技术(三)——Denial Of Service & 哈希相关 & PHP语言 & Java语言
weixin_33708432的博客
10-23 69
找到了这个系列的原始作者: http://www.cnblogs.com/rush/archive/2012/02/05/2339037.html 最近网络安全成了一个焦点,除了国内明文密码的安全事件,还有一件事是影响比较大的——Hash Collision DoS(通过Hash碰撞进行的拒绝式服务攻击),有恶意的人会通过这个安全漏洞让你的服务器运行巨慢无比,那他们是通过什么手段让服务器巨...
JAVA开发全集
热门推荐
u神的专栏
09-23 1万+
soap消息的分析和消息的创建和传递和处理 @WebService public interface IMyService {  @WebResult(name="addResult")  public int add(@WebParam(name="a")int a,@WebParam(name="b")int b);    @WebResult(name="us
ASP.NET编程知识】asp.net基于HashTable实现购物车的方法.docx
05-18
ASP.NET 基于 HashTable 实现购物车的方法 本文将详细介绍 ASP.NET 基于 HashTable 实现购物车的方法,包括 HASH TABLE 的应用、购物车的实现、 Session 的使用等。 一、HASH TABLE 的应用 HashTable 是一种基于...
Apache OFBiz SSRF漏洞CVE-2024-45507分析
INSBUG的博客
09-27 502
由于Apache OFBiz在从Groovy加载文件时未对用户提交的数据进行过滤,未经身份验证的恶意攻击者通过服务器端请求伪造的方式向任意系统发起请求,加载远程恶意xml执行任意代码,从而获取目标服务器的控制权限,具体来说,攻击者可以构造一个恶意的 XML 文件,并通过 SSRF 攻击让 Apache OFBiz 的服务器加载并执行这个文件中的 Groovy 脚本。接收的URL将被视作一个模型屏幕(modelScreen)并进行解析,参照可以根据代码中的示例来构建一个概念验证包含命令的XML文件。
大数据-149 Apache Druid 基本介绍 技术特点 应用场景
永远好奇,无限进步!
09-27 2288
使用Hadoop、Spark进行分析将Hadoop、Spark的结果导入到RDBMS中提供数据分析将结果保存到容量更大的NoSQL数据库中,解决数据分析的存储瓶颈,例如:HBase将数据源进行流式处理,对接流式计算框架(如Storm、Spark、Flink),结果保存到RDBMS或NoSQL中将数据源进行流式处理,对接分析数据库,例如:Druid互联网技术的快速增长催生出了各类大体量的数据,Hadoop很大的贡献在于帮助企业将他们那些低价值的事件流数据转换为高价值的聚合数据。
5 apache poi实现excel的动态下拉框功能
weixin_39563769的博客
09-27 463
【代码】5 apache poi实现excel的动态下拉框功能。
PHP安装后Apache无法运行的问题
最新发布
Bingyeshinvwang的博客
10-01 370
php安装之后,修改httpd.conf无法运行Apache的解决方案
Java中的HTTP请求:使用Apache HttpClient
2401_87195067的博客
09-30 576
Apache HttpClient是一个功能丰富的库,它使得在Java中发送HTTP请求变得简单而直观。无论是简单的数据获取还是复杂的API交互,Apache HttpClient都能满足你的需求。Apache HttpClient是Apache软件基金会的一个项目,它提供了一个支持HTTP协议的客户端编程工具包。它支持HTTP连接的持久化(连接复用)、HTTP状态码、异常处理等高级功能。在使用Apache HttpClient之前,你需要将其添加到你的项目依赖中。处理HTTP响应同样简单。
Windows安装启动apache httpd 2.4 web服务器
Zhang Phil
09-28 653
apache httpd主要用来处理静态网页内容以及如php。(1)在下载apache:(2)下载解压到一个目录,如果目录是这样的:找到 \httpd-2.4.62\Apache24\conf\httpd.conf 文件,修改server root地址为真实当前apache httpd安装目录:路径里面用反斜线。保存为xxx.bat即可。输入httpd -t输出:表明配置正常。(3)安装apache主服务。Apache24是自定义的名字,随意。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值