Apache - как ограничить длину заголовка Content-Type, чтобы избежать CVE-2014-0050?

В четверг DoS проблема с Кот было объявлено в списке рассылки Tomcat ("[БЕЗОПАСНОСТЬ] CVE-2014-0050 Apache Commons FileUpload и Apache Tomcat DoS ").

Похоже, что злоумышленник может вызвать бесконечный цикл, отправив слишком длинный content-type заголовок при загрузке файлов (если в веб-приложении используется возможность загрузки Servlet 3.0+), насколько я понял сообщение с первого взгляда.

Если кто-то управляет своими серверами Tomcat за серверами Apache httpd (с использованием AJP и mod_jk), что можно сделать для реализации рекомендации? «Ограничьте размер заголовка Content-Type до менее 4091 байта»?

Конечно, как только выпуск с исправлением ошибок доступен (на странице загрузки или в репозиториях пакетов для конкретных дистрибутивов Linux), следует выполнить обновление. Нет вопросов. Но на данный момент в настоящее время доступна версия Tomcat 7.0.50 похоже, все еще пострадает.

Но что можно сделать в качестве быстрой меры защиты, пока не будет доступен фиксированный выпуск?

(Без необходимости ...

• удалить текущие пакеты Tomcat (установленные из репозитория пакетов),
• собрать версии вручную из исходников (SVN),
• развернуть их вручную (без apt-get или aptitude),
• позже удалите все созданные вручную вещи снова в пользу удобных обновляемых версий из репозитория пакетов)

Есть ли способы, похожие на временные обходные пути для этой темы: http://wiki.apache.org/httpd/CVE-2011-3192 ?

Тогда можно было использовать mod_headers, mod_setenvif или mod_rewrite разобраться с проблемой. Существуют ли аналогичные уловки Apache httpd для сохранения искаженного составной загружать запросы от подчиненного сервера Tomcat?