Важно Новая уязвимость PHP

Неприятная новость заключается в следующем: сервер, на котором хранится веб - приложение или ресурс, разработанные на языке программирования PHP, может быть легко выведен из строя, если злоумышленник воспользуется данной уязвимостью.

Web developers are in a lather following the discovery of a bug in the PHP programming language that causes computers to freeze when they process certain numerical values with large numbers of decimal places.

The error in the way floating-point and double-precision numbers are handled sends 32-bit systems running Linux, Windows, and FreeBSD into an infinite loop that consumes 100 percent of their CPU's resources. Developers are still investigating, but they say the bug appears to affect versions 5.2 and 5.3 of PHP. They say it could be trivially exploited on many websites to cause them to crash by adding long numbers to certain URLs.

Ошибка заключается в принципе обработки чисел с плавающей запятой, а также чисел с удвоенным количеством разрядов, в результате чего 32х-разрядные системы Linux, Windows и FreeBSD отправляются в бесконечный цикл при полной загрузке ресурсов процессора. Наглядным примером может послужить результат конвертации значения "2.2250738585072011e-308" в число с плавающей запятой при использовании функции zend_strtod.

По мнению экспертов, поскольку на PHP разработано большинство веб-ресурсов, начиная от WordPress и заканчивая Wikipedia - результат может быть весьма плачевным. В данном случае, для успешной атаки - злоумышленнику достаточно просто добавить это число к URL ресурса. Кроме того, отмечается, что отказ в работе отдельных процессов возможен просто при отправке такого либо подобного числа с запросом GET.

В настоящий момент разработчики тщательно исследуют найденную уязвимость, однако советуют пользователям версий PHP 5.2 и 5.3 незамедлительно обновить их до 5.3.5 и 5.2.16 соответственно.

Более подробно