PHP: Rechenaufgabe legt Server lahm (Update)

PHP

Rechenaufgabe legt Server lahm (Update)

Eine einzige Zahl macht es möglich: Die Scriptsprache PHP ist in der 32-Bit-Variante anfällig für DoS-Angriffe. Mittlerweile wurde der Fehler in den aktuellen Entwicklerversionen von PHP beseitigt.

Anzeige

Durch die fehlerhafte Verarbeitung der 64-Bit-Gleitkommazahl 2.2250738585072011e-308 ist es in der Scriptsprache PHP möglich, einen Denial of Service - kurz DoS - zu provozieren. Der Fehler wurde von Rick Regan entdeckt. Schuld ist eine rechnerische Annäherung an die Gleitkommazahl. Bei einem Angriff muss die Zahl lediglich als numerischer Wert übergeben werden.

Laut Nutzerkommentaren sind die PHP-Versionen 5.3.3-6, 5.3.2-1 und 5.3.1 betroffen. Ein Update steht noch nicht zur Verfügung. Bislang bleibt vermutlich nur die Möglichkeit, den Fehler selbst zu umgehen: Dazu muss PHP laut Anwenderberichten mit dem Parameter -mfpmath=sse oder mit -ffloat-store neu kompiliert werden. Der Fehler ist bereits im Bug-Tracker von PHP vermerkt.

Nachtrag vom 4. Januar 2011, 20:05 Uhr

Laut PHP-Entwickler Rasmus Lerdorf geht das Problem auf einen alten Designfehler in Intels x87-Design zurück. Demnach tritt das Problem bei Prozessoren mit einer x87 FPU (Floating Point Unit) auf, wenn nicht explizit die Verwendung von SSE oder Float-Store erzwungen wird.

Nachtrag vom 5. Januar 2011, 08:10 Uhr

Nach Angaben des PHP-Entwicklers Scott MacVicar wurde der Bug mittlerweile im SVN-Repository von PHP beseitigt. Aktuelle PHP-Snapshots stehen unter snaps.php.net zum Download bereit.


Deutschlehrer_ 10. Jan 2011

Und er ist dauernd falsch. Warum den Begriff "NP-schwer" mit der falschen...

AirCraft24 07. Jan 2011

@Schnarchnase: Schön, nicht? :) Das ist aber nicht das eigentliche Script, sondern...

warjaklar 05. Jan 2011

Wenn es halt nur bei diesem einem Bug bleiben würde. Aber gerade dann lohnt sich Trollen...

Rafi 05. Jan 2011

Hier noch ein workaround, der PHP-sites zumindest vor Script-Kiddies schützt, die jetzt...

GUIMaster 05. Jan 2011

Im Nachtrag ist einer der »Petium-Bugs« erwäht. Heist das, dass AMD nicht betroffen ist...

Kommentieren


davblog: webdev and stuff / 04. Jan 2011

fieser Bug in PHP 5.3



Anzeige

  1. Leiter Business Solutions (m/w)
    Seven2one Informationssysteme GmbH, Karlsruhe
  2. Test Engineer Produktentwicklung IT-Systeme (m/w)
    evosoft GmbH, Karlsruhe
  3. Softwareentwickler (m/w) als kreativer Kopf für Testsysteme
    Vector Informatik GmbH, Stuttgart
  4. Software Ingenieur im Bereich Windenergie (m/w)
    Woodward Kempen GmbH, Kempen

 

Detailsuche


Folgen Sie uns
       


  1. Allview Viva H7

    7-Zoll-Tablet mit UMTS-Modem für 120 Euro

  2. Echtzeit-Überwachung

    BND prüft angeblich Einsatz von SAPs Hana-Datenbank

  3. Xiaomi

    Design des Mi4 von Apple "inspiriert"

  4. Terrorabwehr

    Kriterien für Aufnahme in US-Terrordatenbank enthüllt

  5. Open Name System

    DNS mit Namecoin-Blockchain

  6. In eigener Sache

    Computec Media veröffentlicht Spielevideo-App Games TV 24

  7. Google-Suchergebnisse

    EU-Datenschützer verlangen weltweite Löschung

  8. Dating

    Parship darf Widerruf nicht mit hoher Rechnung verhindern

  9. O2

    Neue Prepaid-Tarife erlauben Datenmitnahme in den Folgemonat

  10. Freie .Net-Implementierung

    Mono soll schneller werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Let's Player: "Es gibt Spiele, für die man bezahlt wird"
Let's Player
"Es gibt Spiele, für die man bezahlt wird"
  1. Transocean Handelssimulation mit Ozeanriesen
  2. Dieselstörmers angespielt Diablo plus Diesel
  3. Quo Vadis Computec Media übernimmt Mehrheit an Aruba Events

Oneplus One im Test: Unerreichbar gut
Oneplus One im Test
Unerreichbar gut
  1. Oneplus One-Update macht verkürzte Akkulaufzeit rückgängig
  2. Oneplus One könnte ab dem dritten Quartal vorbestellbar sein
  3. Cyanogenmod-Smartphone Weitere Käufer erhalten das Oneplus One

Android Wear: Pimp my watch
Android Wear
Pimp my watch
  1. Android Wear API für Watch Faces soll bald kommen
  2. Google Camera App Kamera-Fernbedienung für Android Wear
  3. Android Wear Erstes Custom-ROM für LGs G Watch erschienen

    •  / 
    Zum Artikel