从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:DOS vulnerability on DosFilter 2. 发布者:joakime 3. CVE编号:CVE-2024-9823 4. 严重性:Moderate (5.3 / 10) 5. 受影响的版本: - org.eclipse.jetty.ee10:jetty-ee10-servlets (Maven):>=12.0.0, =12.0.0, =9.0.0, =10.0.0, =11.0.0, =9.0.0, =10.0.0, =11.0.0, <11.0.18 6. 修复版本: - 9.4.54 - 10.0.18 - 11.0.18 - 12.0.3 7. 描述: - 未经授权的用户可以通过DosFilter触发远程拒绝服务(DoS)攻击,导致服务器内存耗尽。 - DosFilter是一种安全过滤器,用于保护Web应用程序免受特定类型的DoS攻击和其他滥用行为。 - DosFilter通过监控和跟踪客户端请求模式,包括请求速率,可以采取措施阻止或延迟超过预定义阈值的请求。 - DosFilter的内部跟踪请求是引发OutOfMemory错误的原因。 8. 影响: - 用户可能会受到DoS攻击,最终导致服务器内存耗尽,如果他们没有配置会话钝化或激进的会话无活动超时。 9. 补丁: - DosFilter在所有活跃版本中已修复,不再支持会话跟踪模式,即使已配置。 10. 工作绕过: - 可以通过设置trackSessions init参数为false来配置DosFilter不使用会话进行跟踪。 - 这将仅使用IP跟踪机制,该机制不受影响。 - 会话也可以配置为具有激进的钝化或无活动超时限制。