WN - Bugg i PHP 5.3 hänger processen (risk för DoS)

WN (https://www.wn.se/forum/index.php)

- Nyheter (https://www.wn.se/forum/forumdisplay.php?f=3)

- - Bugg i PHP 5.3 hänger processen (risk för DoS) (https://www.wn.se/forum/showthread.php?t=1045704)

Lumax

2011-01-05 11:13

Bugg i PHP 5.3 hänger processen (risk för DoS)

http://bugs.php.net/bug.php?id=53632
php -r "echo 2.2250738585072011e-308;"

Som tur är drabbar det bara 32-bitarssystem och flertalet sådana har PHP 5.2 eller äldre. Men vissa tycks ha återskapat felet även i PHP 5.0

Med lite otur så kommer det dyka upp en del botar som skickar värdet som GET-parametrar helt random på sidor, precis som det sker med andra sårbarheter. Har du ett system som uppfyller kriterierna för att bli drabbad så måste du göra en filtrering manuellt i scripten. Den här killen har ett exempel. http://news.ycombinator.com/item?id=2066281

SimonP

2011-01-05 21:17

I Windows buggar det även på PHP 5.2.x.
På de Linux-servrar som jag testat kan jag ej få fram buggen (med PHP 5.2.x).

MRDJ	2011-01-05 23:49

Citat:

Ursprungligen postat av Lumax (Inlägg 20386265)

Är det inte så att den dödar bara den processen som besökaren använder? så det borde väll bero lite på hur PHP är configurerat? normalt så startas väll en process för varje användare vilket betyder att man bara dödar sin egen process?

Lumax

2011-01-05 23:56

Citat:

Ursprungligen postat av MRDJ (Inlägg 20386416)

Jo, men det är ju inte speciellt svårt att hamra på med många requests vilket får hela servern att jobba ihjäl sig.

SpaceDump

2011-01-08 11:08

http://www.php.net/archive/2011.php#id2011-01-06-1

Väldigt trevligt då. :)

//Anders

Bladet

2011-01-08 11:40

Bekvämt med testscriptet.

"Your system seems to be safe" på alla mina burkar.

Alla tider är GMT +2. Klockan är nu 20:24.