Abo
  • IT-Karriere:

PHP

Rechenaufgabe legt Server lahm (Update)

Eine einzige Zahl macht es möglich: Die Scriptsprache PHP ist in der 32-Bit-Variante anfällig für DoS-Angriffe. Mittlerweile wurde der Fehler in den aktuellen Entwicklerversionen von PHP beseitigt.

Artikel veröffentlicht am , Alexander Syska
PHP: Rechenaufgabe legt Server lahm (Update)

Durch die fehlerhafte Verarbeitung der 64-Bit-Gleitkommazahl 2.2250738585072011e-308 ist es in der Scriptsprache PHP möglich, einen Denial of Service - kurz DoS - zu provozieren. Der Fehler wurde von Rick Regan entdeckt. Schuld ist eine rechnerische Annäherung an die Gleitkommazahl. Bei einem Angriff muss die Zahl lediglich als numerischer Wert übergeben werden.

Stellenmarkt
  1. DFN-CERT Services GmbH, Hamburg
  2. Bertrandt Ingenieurbüro GmbH, Köln

Laut Nutzerkommentaren sind die PHP-Versionen 5.3.3-6, 5.3.2-1 und 5.3.1 betroffen. Ein Update steht noch nicht zur Verfügung. Bislang bleibt vermutlich nur die Möglichkeit, den Fehler selbst zu umgehen: Dazu muss PHP laut Anwenderberichten mit dem Parameter -mfpmath=sse oder mit -ffloat-store neu kompiliert werden. Der Fehler ist bereits im Bug-Tracker von PHP vermerkt.

Nachtrag vom 4. Januar 2011, 20:05 Uhr

Laut PHP-Entwickler Rasmus Lerdorf geht das Problem auf einen alten Designfehler in Intels x87-Design zurück. Demnach tritt das Problem bei Prozessoren mit einer x87 FPU (Floating Point Unit) auf, wenn nicht explizit die Verwendung von SSE oder Float-Store erzwungen wird.

Nachtrag vom 5. Januar 2011, 08:10 Uhr

Nach Angaben des PHP-Entwicklers Scott MacVicar wurde der Bug mittlerweile im SVN-Repository von PHP beseitigt. Aktuelle PHP-Snapshots stehen unter snaps.php.net zum Download bereit.

Zu den Kommentaren springen
Meistgelesen
  1. Lenovo Thinkbook 13s im Test
    Ein schickes Ultrabook muss nicht teuer sein
  2. Recruiting
    Alle Einstellungsprozesse sind fehlerhaft
  3. IT-Arbeit
    Was fürs Auge
  4. Kinofilm
    Matrix-Trilogie bekommt einen vierten Teil
  5. Elektromobilität
    Die Rohstoffe reichen, aber ...
Anzeige
Hardware-Angebote
  2. (reduzierte Überstände, Restposten & Co.)
  4. 199,90€
Kommentarübersicht
Re: Bitte nochmal die Schulbank drücken
Deutschlehrer_ 10. Jan 2011

Und er ist dauernd falsch. Warum den Begriff "NP-schwer" mit der falschen...

Re: Schneller Workaround
AirCraft24 07. Jan 2011

@Schnarchnase: Schön, nicht? :) Das ist aber nicht das eigentliche Script, sondern...

Re: Da fragt man sich doch...
warjaklar 05. Jan 2011

Wenn es halt nur bei diesem einem Bug bleiben würde. Aber gerade dann lohnt sich Trollen...

Re: Von wegen
Rafi 05. Jan 2011

Hier noch ein workaround, der PHP-sites zumindest vor Script-Kiddies schützt, die jetzt...

i x87 vs. amd x86
GUIMaster 05. Jan 2011

Im Nachtrag ist einer der »Petium-Bugs« erwäht. Heist das, dass AMD nicht betroffen ist...

Folgen Sie uns
       
Samsung Galaxy Note 10 und 10 Plus - Hands on

Samsung hat seine neuen Note-Modelle gezeigt und wir haben sie ausprobiert.

Samsung Galaxy Note 10 und 10 Plus - Hands on Video aufrufen
Mercedes Benz
Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Mercedes EQV Daimler zeigt elektrische Großraumlimousine
  2. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  3. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
Arbeit
OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. IT-Arbeitsmarkt Jobgarantie gibt es nie
  2. IT-Fachkräftemangel Freie sind gefragt
  3. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
Indiegames Rundschau
Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /