互联网易受DoS攻击
http://developers.solidot.org/developers/11/12/29/0735258.shtml在28届混沌计算机大会(28C3)上,安全研究人员指出大多数流行的程序语言都存在一个安全漏洞,攻击者因此可利用哈希表发动拒绝服务攻击。受漏洞影响的技术包括了PHP、ASP.NET、Java、Python、Ruby、Apache Tomcat、Apache Geronimo、Jetty、Glassfish,以及Google的开源JavaScript引擎V8。微软已就哈希碰撞攻击漏洞发布了安全公告,称所有版本的.NET Framework都受到影响,建议所有ASP.NET网站评估风险,采用微软提供的权宜之计。此类攻击早在2003年就已被人所知,并促使Perl和CRuby开发者修改哈希函数,引入随机化。但今天的PHP 5、Java、ASP.NET和V8仍然存在该问题。研究人员称,此类攻击能通过单一HTTP请求造成Web应用服务器在几分钟到几小时内CPU使用率99%。
哈希表的漏洞
目前已知的受影响的语言以及版本有::Java, 所有版本
JRuby <= 1.6.5
PHP <= 5.3.8, <= 5.4.0RC3
Python, 所有版本
Rubinius, 所有版本
Ruby <= 1.8.7-p356
Apache Geronimo, 所有版本
Apache Tomcat <= 5.5.34, <= 6.0.34, <= 7.0.22
Oracle Glassfish <= 3.1.1
Jetty, 所有版本
Plone, 所有版本
Rack, 所有版本
V8 JavaScript Engine, 所有版本
不受此影响的语言或者修复版本的语言有::
PHP >= 5.3.9, >= 5.4.0RC4
JRuby >= 1.6.5.1
Ruby >= 1.8.7-p357, 1.9.x
Apache Tomcat >= 5.5.35, >= 6.0.35, >= 7.0.23
Oracle Glassfish, N/A (Oracle reports that the issue is fixed in the main codeline and scheduled for a future CPU)
CVE: CVE-2011-4885 (PHP), CVE-2011-4461 (Jetty), CVE-2011-4838 (JRuby), CVE-2011-4462 (Plone), CVE-2011-4815 (Ruby) 这个真够壮观的,:L
页:
[1]