我正在使用Jboss Resteasy来设置Web服务。刚刚发现Resteasy会根据以下内容自动解压缩gzip消息: https://docs.jboss.org/resteasy/docs/2.0.0.GA/userguide/html/gzip.html
如果客户发送拉链炸弹怎么办?想知道Resteasy如何处理这种情况?
答案 0 :(得分:0)
确定了这个缺陷,并指定了CVE:CVE-2016-6346。
说明中指出:
为了降低被此漏洞利用的风险,RESTeasy的默认设置已更改,因此不再使用gzip压缩解码请求
修复程序包含在RESTeasy 3.1分支和3.0.20(及更新版本)中。
所以我的建议是使用最新版本的RESTeasy。