之前你可能聽說過關于 Java 中的哈希表實現上的漏洞，現如今因為 Tomcat 使用了哈希表來存儲 HTTP 請求參數，因此也受此問題影響。目前為止，Oracle 尚未為該問題提供補丁。

[[54832]]

為此 Tomcat 實現了一個變通的做法，提供一個新的選項 maxParameterCount 用來限制但請求中***的參數數量，該參數默認值是 10000，這對多數應用程序來說已經足夠，這個值也足夠用來繞過 JRE 中的哈希表的 bug。

目前該變通方法將會在以下版本中實現：

trunk

7.0.23 onwards

6.0.35 onwards

該方法也將在即將發布的 5.5.35 版本中實現。

如果你正在使用早期的 Tomcat 版本，沒有 maxParameterCount 屬性，那么可以通過限制 maxPostSize 到 10kb 以下來解決這個問題。

盡管這不是 Tomcat 本身的bug，但 Tomcat 安全團隊還是發布了該消息并告知潛在的問題。

關于此漏洞的更詳細信息請看：

http://www.nruns.com/_downloads/advisory28122011.pdf

原文鏈接：http://www.oschina.net/news/24418/tomcat-hashtable-collision-dos-vulnerability

【編輯推薦】

1. 將Eclipse RAP部署到Tomcat中
2. Tomcat運行Java Web內存溢出總結
3. 淺析Tomcat NIO 配置
4. Apache Tomcat 6.0.35 發布 附下載
5. Hudson+Ant+SVN+Tomcat配置詳解