互联网易受DoS攻击

wayne

http://developers.solidot.org/developers/11/12/29/0735258.shtml
在28届混沌计算机大会（28C3）上，安全研究人员指出大多数流行的程序语言都存在一个安全漏洞，攻击者因此可利用哈希表发动拒绝服务攻击。受漏洞影响的技术包括了PHP、ASP.NET、Java、Python、Ruby、Apache Tomcat、Apache Geronimo、Jetty、Glassfish，以及Google的开源JavaScript引擎V8。微软已就哈希碰撞攻击漏洞发布了安全公告，称所有版本的.NET Framework都受到影响，建议所有ASP.NET网站评估风险，采用微软提供的权宜之计。此类攻击早在2003年就已被人所知，并促使Perl和CRuby开发者修改哈希函数，引入随机化。但今天的PHP 5、Java、ASP.NET和V8仍然存在该问题。研究人员称，此类攻击能通过单一HTTP请求造成Web应用服务器在几分钟到几小时内CPU使用率99%。

wayne

目前已知的受影响的语言以及版本有::

Java, 所有版本

JRuby <= 1.6.5

PHP <= 5.3.8, <= 5.4.0RC3

Python, 所有版本

Rubinius, 所有版本

Ruby <= 1.8.7-p356

Apache Geronimo, 所有版本

Apache Tomcat <= 5.5.34, <= 6.0.34, <= 7.0.22

Oracle Glassfish <= 3.1.1

Jetty, 所有版本

Plone, 所有版本

Rack, 所有版本

V8 JavaScript Engine, 所有版本

不受此影响的语言或者修复版本的语言有::

PHP >= 5.3.9, >= 5.4.0RC4

JRuby >= 1.6.5.1

Ruby >= 1.8.7-p357, 1.9.x

Apache Tomcat >= 5.5.35, >= 6.0.35, >= 7.0.23

Oracle Glassfish, N/A (Oracle reports that the issue is fixed in the main codeline and scheduled for a future CPU)

CVE: CVE-2011-4885 (PHP), CVE-2011-4461 (Jetty), CVE-2011-4838 (JRuby), CVE-2011-4462 (Plone), CVE-2011-4815 (Ruby)

wayne

这个真够壮观的，