HTTP 服务器容易受到缓慢的拒绝服务攻击(CVE-2007-6750 CVE-2012-5568)

HTTP 服务器容易受到缓慢的拒绝服务攻击(CVE-2007-6750 CVE-2012-5568)

很少有第三方漏洞扫描工具报告说OpManager具有DOS漏洞 CVE-2007-6750 CVE-2012-5568。

TOMCAT开发人员曾经提到过,这不是TOMCAT中的漏洞,并且他们没有修复此漏洞的计划。
请检查下面的链接。


缓慢:拒绝服务 CVE-2012-5568

如果使用BIO或APR/本地HTTP连接器,一次发送1个字节的HTTP请求将消耗连接池中的线程,直到请求被完全处理为止。可以使用多个请求来消耗连接池中的所有线程,从而创建拒绝服务。

由于客户端资源和服务器端资源之间的关系是线性关系,因此Tomcat安全团队不会将此问题视为漏洞。 这是一个常见的DoS问题,没有特效的解决方案。在Tomcat邮件列表中已多次讨论此问题。查看这些讨论的最佳文件是bug 54236的报告   


仅当将DOS漏洞托管在外部(互联网)上时,OpManager用户才可能需要担心此DOS漏洞。由于OpManager主要是内部的,因此此DOS附加的影响在OpManager中为零或可忽略不计。即使它是外部的,用户也可以配置一些防火墙策略来缓解此DOS攻击,如下所述。

http://security.stackexchange.com/questions/42618/how-to-protect-tomcat-7-against-slowloris-attack


    • Related Articles

    • 【OPM】不涉及 Apache Tomcat CVE-2023-46589漏洞

      OpManager 不涉及Apache Tomcat CVE-2023-46589漏洞 因为OpManager中不使用 HTTP Trailer header

    • 【APM】不涉及 Apache Tomcat CVE-2023-46589漏洞

      Applications Manager 不涉及Apache Tomcat CVE-2023-46589漏洞 因为 Applications Manager 中不使用 HTTP Trailer header。 同时,该漏洞仅适用于在反向代理服务器后的APM实例之间运行。(APM和浏览器之间的代理服务器) 所以此漏洞不适用的另一个原因是漏洞利用前提需要反向代理服务器。

    • 【OPM】不涉及 Apache Tomcat CVE-2023-50164漏洞

      OpManager 不涉及Apache Tomcat CVE-2023-50164 漏洞 Apache Struts 2中的远程代码执行漏洞(CVE-2023-50164) OpManager 不涉及Apache Tomcat CVE-2023-50164 漏洞,因为在OpManager中我们不会使用该 Struts。

    • 【opm】仅使用http访问方法

      问题: 新版本出于安全角度,一旦使用 https 访问会自动禁用 http 访问。但由于客户环境受限(如vpn)只能使用http。 方法: 1, <OpManager_home>/conf 目录删除 itom.keystore 2,分别备份下<OpManager_home>/server_xml_bkp/和<OpManager_home>/conf文件夹下的 server.xml到新的目录 用<OpManager_home>/server_xml_bkp/文件夹下的 server.xml替换 ...

    • 收到请求吞吐量和服务器响应时间“无法调用Oracle HTTP服务器详细信息”的消息。

      解决方案: 检查OHS (Oracle HTTP Server) 服务器是否正在运行。如果没有,请使用以下步骤启动OHS: 1.要使用opmnctl 启动Oracle实例中的所有OHS组件,请使用: - $ORACLE_INSTANCE/bin/opmnctl startproc process-type=OHS 2.要使用opmnctl 启动特定的OHS 组件,请使用: - $ORACLE_INSTANCE/bin/opmnctl startproc ...