摘要:原載于官方博客編譯中的這一拒絕服務攻擊漏洞為當客戶端在一條連接內發送大量管線化請求并且不從連接讀取響應,將會導致服務中斷。對攻擊者來說,套接字最終會超時并被服務器銷毀。
2013/10/22 17:42:10 原載于 Node.js 官方博客 / XiNGRZ 編譯
Node.js 中的這一拒絕服務攻擊漏洞為:當客戶端在一條連接內發送大量管線化 HTTP 請求、并且不從連接讀取響應,將會導致服務中斷。
我們建議所有 Node.js v0.8 或 v0.10 運行在生產環境的 HTTP 服務器盡快更新此版本。
v0.10.21 http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/
v0.8.26 http://blog.nodejs.org/2013/10/18/node-v0-8-26-maintenance/
對此 Node .js 的修復方案是,在套接字的下行可寫端等待 drain 事件時暫停套接字和 HTTP 解析器。對攻擊者來說,套接字最終會超時并被服務器銷毀。如果「攻擊者」并不存在惡意,只是發送了大量請求而無法盡快處理,那么該連接的吞吐量會減小至該客戶端所能承受的范圍。
程序語義未產生改變,并且除了所述極端情況,無需作任何變更。
如果沒有條件升級,那么在 Node.js 服務器前布置一個 HTTP 代理亦可緩解此漏洞,前提是這個代理能自行解析 HTTP 并且不會被這個管線化拒絕服務攻擊放倒。
舉個栗子,Nginx 能夠防范此攻擊(因為缺省情況下它會關閉管線化請求達到 100 個的連接),但 raw TCP 模式的 HAProxy 則不能(因為它直接代理 TCP 連接而不理會 HTTP 語義)。
漏洞代號 CVE-2013-4450。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11091.html
摘要:一個非常流行的包,被稱為的編程語言已得到修復,以解決一個可能影響很多應用程序的遠程代碼執行缺陷。這同樣適用于復雜的漏洞,例如任意代碼執行缺陷,與典型問題相比,修復這些漏洞可能需要兩倍的時間。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:...
摘要:所以我們整理了一個應用安全備忘錄,以幫助你在部署啟動應用程序的時候進行安全檢查。這可以保護應用程序不被攻擊。應該用日志記錄下來,而不是顯示給用戶。 本人的博客http://www.wjs.photo/,感興趣的可以看看哦,基于NodeJs框架ThinkJs 本文翻譯自 www.risingstack.com ,并非逐字逐句的翻譯,有錯誤的地方請指出,謝謝啦 應用程序的安全就像是你房間里...
摘要:爆出中等嚴重性安全漏洞拒絕服務漏洞。本文將進行漏洞解讀和情景再現,并分享漏洞修復方案,用戶來看應對之策了漏洞美國當地時間年月日,社區發布了拒絕服務的漏洞,即有寫入權限的用戶在寫入資源時會導致過度消耗資源,此漏洞被評級為中等嚴重性。 Kubernetes爆出中等嚴重性安全漏洞——Kubernetes API Server拒絕服務漏洞CVE-2019-1002100。 本文將進行漏洞解讀和...
摘要:漏洞報告最近收到安全部門的安全掃描報告。遠程攻擊者可利用該漏洞獲取敏感信息或造成拒絕服務。廠商補丁目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接一個高危漏洞,趕緊網上查詢下資料這準備修復。 漏洞報告 最近收到安全部門的安全掃描報告。內容如下: nginx 安全漏洞(CVE-2018-16845) 中危 nginx類 nginx是由俄羅斯的程序設計師Igor Sysoe...
閱讀 1207·2019-08-30 15:55
閱讀 954·2019-08-30 15:55
閱讀 2150·2019-08-30 15:44
閱讀 2879·2019-08-29 14:17
閱讀 1130·2019-08-29 12:45
閱讀 3301·2019-08-26 10:48
閱讀 3133·2019-08-23 18:18
閱讀 2599·2019-08-23 16:47