现在的位置: 首页 > 综合 > 正文

Java哈希冲突拒绝服务漏洞

2013年01月07日 ⁄ 综合 ⁄ 共 677字 ⁄ 字号 评论关闭
BUGTRAQ ID: 51236

CVE ID: CVE-2011-4838


Java是一种可以撰写跨平台应用软件的面向对象的程序设计语言。
受影响系统:
Sun JDK 1.x
Sun JRE 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 51236
CVE ID: CVE-2011-4838

Java是一种可以撰写跨平台应用软件的面向对象的程序设计语言。

Java使用了哈希表来映射关键值到相关条目。如果哈希表包含不同键的条目,而这些条目又映射到同一哈希值,则

会出现哈希冲突。如果攻击者生成了许多包含冲突键值的请求,则应用就会执行哈希表单查找操作,造成拒绝服务

。

<*来源:Alexander Klink (a.klink@cynops.de)
  
  链接:http://www.kb.cert.org/vuls/id/903934
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

限制单个请求的处理时间可降低恶意请求的影响;
限制POST请求的大小可降低冲突的可能。
限制每个请求的参数。

厂商补丁:

Sun
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://sunsolve.sun.com/securi

抱歉!评论已关闭.