ELB后面有两台AWS服务器。 我们公司最近进行了钢笔testing,其中一项是:
讨论:当服务器不拒绝多个内容长度头请求时,Apache Tomcat版本4,5和6中存在此漏洞。
结果:当防火墙,caching,代理和Tomcat处理这些请求时,可能导致Webcaching中毒,XSS攻击和信息泄露。
build议:有关最新版本的详细信息,请参阅此Apache Tomcat Web站点。
现在我们使用的是tomcat 8.0.43。 根据文档,这种可靠性是固定的。
我的问题是:
1. Is this true about Tomcat? 2. Does this vulnerability exist in Amazons ELB? 3. If so, does it matter if Tomcat is fixed. 4. In not, how does one fix this? 谢谢