Jboss Resteasy自动解压如何防止zip炸弹攻击?
How does Jboss Resteasy automatic decompression prevent zip bomb attack?
我正在使用 Jboss Resteasy 来设置网络服务。发现Resteasy是自动解压gzip消息的,如下:
https://docs.jboss.org/resteasy/docs/2.0.0.GA/userguide/html/gzip.html
如果客户端发送了 zip 炸弹怎么办?想知道 Resteasy 如何处理这种情况?
已识别此漏洞并分配了 CVE:CVE-2016-6346。
描述指出:
In order to reduce the risk of being exploited by this vulnerability, the default setting for RESTeasy was changed so that it no longer decodes requests with gzip compression
修复包含在 RESTeasy 3.1 分支和 3.0.20(及更新版本)中。
所以我的建议是使用最新版本的 RESTeasy。
我正在使用 Jboss Resteasy 来设置网络服务。发现Resteasy是自动解压gzip消息的,如下: https://docs.jboss.org/resteasy/docs/2.0.0.GA/userguide/html/gzip.html
如果客户端发送了 zip 炸弹怎么办?想知道 Resteasy 如何处理这种情况?
已识别此漏洞并分配了 CVE:CVE-2016-6346。
描述指出:
In order to reduce the risk of being exploited by this vulnerability, the default setting for RESTeasy was changed so that it no longer decodes requests with gzip compression
修复包含在 RESTeasy 3.1 分支和 3.0.20(及更新版本)中。
所以我的建议是使用最新版本的 RESTeasy。