摘要:原载于官方博客编译中的这一拒绝服务攻击漏洞为当客户端在一条连接内发送大量管线化请求并且不从连接读取响应,将会导致服务中断。对攻击者来说,套接字最终会超时并被服务器销毁。
2013/10/22 17:42:10 原载于 Node.js 官方博客 / XiNGRZ 编译
Node.js 中的这一拒绝服务攻击漏洞为:当客户端在一条连接内发送大量管线化 HTTP 请求、并且不从连接读取响应,将会导致服务中断。
我们建议所有 Node.js v0.8 或 v0.10 运行在生产环境的 HTTP 服务器尽快更新此版本。
v0.10.21 http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/
v0.8.26 http://blog.nodejs.org/2013/10/18/node-v0-8-26-maintenance/
对此 Node .js 的修复方案是,在套接字的下行可写端等待 drain 事件时暂停套接字和 HTTP 解析器。对攻击者来说,套接字最终会超时并被服务器销毁。如果「攻击者」并不存在恶意,只是发送了大量请求而无法尽快处理,那么该连接的吞吐量会减小至该客户端所能承受的范围。
程序语义未产生改变,并且除了所述极端情况,无需作任何变更。
如果没有条件升级,那么在 Node.js 服务器前布置一个 HTTP 代理亦可缓解此漏洞,前提是这个代理能自行解析 HTTP 并且不会被这个管线化拒绝服务攻击放倒。
举个栗子,Nginx 能够防范此攻击(因为缺省情况下它会关闭管线化请求达到 100 个的连接),但 raw TCP 模式的 HAProxy 则不能(因为它直接代理 TCP 连接而不理会 HTTP 语义)。
漏洞代号 CVE-2013-4450。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/11091.html
摘要:一个非常流行的包,被称为的编程语言已得到修复,以解决一个可能影响很多应用程序的远程代码执行缺陷。这同样适用于复杂的漏洞,例如任意代码执行缺陷,与典型问题相比,修复这些漏洞可能需要两倍的时间。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:...
摘要:所以我们整理了一个应用安全备忘录,以帮助你在部署启动应用程序的时候进行安全检查。这可以保护应用程序不被攻击。应该用日志记录下来,而不是显示给用户。 本人的博客http://www.wjs.photo/,感兴趣的可以看看哦,基于NodeJs框架ThinkJs 本文翻译自 www.risingstack.com ,并非逐字逐句的翻译,有错误的地方请指出,谢谢啦 应用程序的安全就像是你房间里...
摘要:爆出中等严重性安全漏洞拒绝服务漏洞。本文将进行漏洞解读和情景再现,并分享漏洞修复方案,用户来看应对之策了漏洞美国当地时间年月日,社区发布了拒绝服务的漏洞,即有写入权限的用户在写入资源时会导致过度消耗资源,此漏洞被评级为中等严重性。 Kubernetes爆出中等严重性安全漏洞——Kubernetes API Server拒绝服务漏洞CVE-2019-1002100。 本文将进行漏洞解读和...
摘要:漏洞报告最近收到安全部门的安全扫描报告。远程攻击者可利用该漏洞获取敏感信息或造成拒绝服务。厂商补丁目前厂商已发布升级补丁以修复漏洞,补丁获取链接一个高危漏洞,赶紧网上查询下资料这准备修复。 漏洞报告 最近收到安全部门的安全扫描报告。内容如下: nginx 安全漏洞(CVE-2018-16845) 中危 nginx类 nginx是由俄罗斯的程序设计师Igor Sysoe...
阅读 1024·2019-08-30 15:55
阅读 784·2019-08-30 15:55
阅读 1997·2019-08-30 15:44
阅读 2678·2019-08-29 14:17
阅读 979·2019-08-29 12:45
阅读 3202·2019-08-26 10:48
阅读 3017·2019-08-23 18:18
阅读 2471·2019-08-23 16:47
