[漏洞类型]:拒绝服务
[危害等级]:高危
[影响版本]:
<=1.8.0.131
存在问题的函数:
java.io.InputStream
java.xml.ws.Service
javax.xml.validation.Schema
javax.xml.JAXBContext
java.net.JarURLConnection – The setConnectionTimeout and setReadTimeout are ignored
javax.imageio.ImageIO
Javax.swing.ImageIcon
javax.swing.text.html.StyleSheet
[漏洞危害]:
当上述存在问题的函数去请求攻击者控制的FTP服务时,如果攻击者中断了FTP的服务,会导致Java进程一直处于等待状态,最终造成拒绝服务。
[补丁状态]:
官方暂时没有补丁,开发者要注意限制web应用对外请求的方式。