2017-06-28 9 views
0

私はJboss Resteasyを使ってWebサービスを設定しています。ちょっと見つけてくださいResteasyはgzipメッセージを以下のように自動的に解凍しています: https://docs.jboss.org/resteasy/docs/2.0.0.GA/userguide/html/gzip.htmlJboss Resteasyの自動減圧によりジップ爆弾攻撃はどのように防げますか?

クライアントがジップボムを送信するとどうなりますか? Resteasyがこのような状況をどのように処理しているのだろうか?

答えて

0

この欠陥は確認され、CVEはCVE-2016-6346と割り当てられました。

説明状態:

それはもはやgzip圧縮

でリクエストをデコードするように、この脆弱性の悪用される危険性を軽減するために、RESTEasyのデフォルト設定が変更されませんでしたこの修正は、RESTeasy 3.1ブランチおよび3.0.20(およびそれ以降)に含まれています。

私は、RESTeasyの最新バージョンを使用することをお勧めします。

+0

ありがとうございました。それは理にかなっている。 –

関連する問題