Tomcat 全系報 DoS 拒絕服務漏洞 CVE-2014-0230

Tomcat 爆編號為 CVE-2014-0230 的 DoS 拒絕服務漏洞。該漏洞風險級別低，影響的版本包括：

- - Apache Tomcat 8.0.0-RC1 to 8.0.8
- - Apache Tomcat 7.0.0 to 7.0.54
- - Apache Tomcat 6.0.0 to 6.0.43

該 問題出現在帶請求體的請求在獲得響應前，請求體還沒有被讀取完畢，這時候 Tomcat 會默認的保留請求，而沒有對這個請求的大小進行限制。這將會導致一個潛在的 DoS 風險，因為 Tomcat 將永遠不會關閉這個連接。這個問題是紅帽在4月9日的產品安全中發布的。該問題不影響文件上傳。

解決的辦法：

- - Upgrade to Apache Tomcat 8.0.9 or later
- - Upgrade to Apache Tomcat 7.0.55 or later
- - Upgrade to Apache Tomcat 6.0.44 or later once released