发布日期：2002-06-20
更新日期：2002-06-28

受影响系统：

Apache Software Foundation Tomcat 4.0.3

不受影响系统：

Apache Software Foundation Tomcat 4.1.3 beta

描述：

---

BUGTRAQ  ID: 5067
CVE(CAN) ID: CVE-2002-0935

Apache Tomcat是一款由Apache Foundation维护的免费开放源代码的Web服务器程序。

Apache Tomcat在处理包含NULL字符的特殊请求时存在漏洞，远程攻击者可以利用此漏洞进行拒绝服务攻击。

攻击者可以通过提交包含大量NULL字符的请求给Apache Tomcat服务程序，可使服务器程序的线程崩溃，默认安装启动75个工作线程，意味发送类似请求75次可以导致Apache Tomcat服务程序停止响应。

<*来源：Peter Gründl （pgrundl@kpmg.dk）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-06/0245.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

Apache Software Foundation
--------------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Apache Software Foundation Tomcat 4.0.3:

Apache Software Foundation Upgrade jakarta-tomcat-4.1.3.exe
http://jakarta.apache.org/builds/jakarta-tomcat-4.0/release/v4.1.3-beta/bin/jakarta-tomcat-4.1.3.exe

Apache Software Foundation Upgrade jakarta-tomcat-4.1.3.tar.gz
http://jakarta.apache.org/builds/jakarta-tomcat-4.0/release/v4.1.3-beta/bin/jakarta-tomcat-4.1.3.tar.gz

浏览次数：3216
严重程度：0（网友投票）