关键漏洞信息 漏洞ID: JVN#14876762 漏洞类型: 拒绝服务 (DoS) 严重程度: Critical 影响的产品 Commons FileUpload: 1.0 to 1.3 Apache Tomcat: 8.0.0-RC1 to 8.0.1, 7.0.0 to 7.0.50 描述 Apache Commons FileUpload在处理多部分请求时存在一个问题,可能导致进程进入无限循环。截至2014年2月12日,已确认针对此漏洞的攻击工具。 影响 处理畸形请求可能导致目标系统无响应。 解决方案 更新软件: - 更新至包含修复此漏洞的最新版本 - Apache Commons FileUpload 1.3.1 - Apache Tomcat 8.0.3 - Apache Tomcat 7.0.52 - Apache Struts 2.3.16.1 应用补丁: 在开发者仓库中,已发布包含修复此漏洞的相应源代码。 临时解决方法: 将Content-Type头部大小限制在4091字节以下。 厂商状态 NEC Corporation: 易受攻击,最新更新日期:2016/07/11 漏洞分析 访问需求: 可以通过互联网使用数据包进行攻击 身份验证: 匿名或无需身份验证(IP地址不计入) 用户交互需求: 无需诚实用户采取任何行动即可利用该漏洞 利用复杂性: 需要一些专业知识和/或运气(如在小空间中正确猜测 buffer 溢出,Windows 函数调用中的专业知识) 参考 提供了CVE和JVNDB标识符,以及其他相关信息和历史更新记录。