Denial of Service

Floating-Point-Bug auch in Java

Durch einen Fehler beim Konvertieren einer Gleitkommazahl kann ein Denial of Service in Java ausgelöst werden. Der Floating-Point-Bug war zuvor auch in PHP möglich.

Artikel veröffentlicht am , Alexander Syska
Denial of Service: Floating-Point-Bug auch in Java

Durch die fehlerhafte Verarbeitung der 64-Bit-Gleitkommazahl 2.2250738585072012e-308 ist es in Java möglich, einen Denial of Service (DoS) zu provozieren. Der Fehler ist von dem Studenten Konstantin Preißer entdeckt worden. Schuld daran ist die Konvertierung der Gleitkommazahl. Betroffen sind auch die 64-Bit-Varianten.

Stellenmarkt
  1. Entwickler / Fachinformatiker/Med. Dokumentar (m/w/d) für den Bereich Biometrie
    Winicker Norimed GmbH Medizinische Forschung, Nürnberg, Berlin
  2. Frontend-Entwickler (m/w/d)
    BWS Consulting Group GmbH, Dortmund, Hannover, Wolfsburg
Detailsuche

Vorher war bekanntgeworden, dass PHP von dem Floating-Point Bug betroffen ist. Hier konnte die Gleitkommazahl ebenfalls einen Denial of Service auslösen, was jedoch zügig gepatcht wurde. Das Problem geht auf einen bekannten Fehler in Intels x87-Design zurück. Demnach tritt das Problem bei Prozessoren mit einer x87 FPU (Floating Point Unit) auf, wenn nicht explizit die Verwendung von SSE oder Float-Store erzwungen wird.

Laut einem Kommentar von Preißer auf Exploitbinary.com hatte er den Fehler schon vor drei Wochen an Oracle gemeldet, der Konzern hatte aber nicht darauf reagiert.

Rekonstruieren lässt sich der Fehler sowohl im Compiler des aktuellen JDK als auch in Java-Programmen. Durch das Konvertieren der Gleitkommazahl mit Double.parseDouble trete in der Java-Klasse FloatingDecimal.java eine Endlosschleife auf, schreibt Preißler. Ein Patch von Oracle steht bislang aus.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
James Webb Space Telescope
Das Weltraumteleskop wird mit Javascript betrieben

Die in der Raumfahrt verwendete Software ist manchmal kurios. Im Fall des JWST wird das ISIM mit Javascript kontrolliert und betrieben.

James Webb Space Telescope: Das Weltraumteleskop wird mit Javascript betrieben
Artikel
  1. ADAC-Test: Elektroautos als Zugmaschinen - was bringt's?
    ADAC-Test
    Elektroautos als Zugmaschinen - was bringt's?

    Der ADAC hat den Stromverbrauch von Elektroautos mit Anhängern und Fahrradgepäckträgern gemessen. Gute Noten gibt es dabei keine.

  2. Macbook Air M2 im Test: Das Macbook ohne Lüfter, aber mit Notch und Magsafe
    Macbook Air M2 im Test  
    Das Macbook ohne Lüfter, aber mit Notch und Magsafe

    Im Vergleich zum Apple Macbook Pro ist das Air mit M2-Chip eine Generation weiter. Auch ohne Lüfter ist es ein leistungsstarkes Notebook.
    Ein Test von Oliver Nickel

  3. DDR5: Samsung plant 1-TByte-Speichermodul
    DDR5
    Samsung plant 1-TByte-Speichermodul

    2022 sollen 512-GByte-Riegel verfügbar sein, später die doppelte Kapazität. Davon profitieren Server-CPUs wie AMDs Epyc mit zwölf Kanälen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (MSI RTX 3090 Gaming 1.269€, Seagate Festplatte ext. 18 TB 295€) • PS5-Deals (Uncharted Legacy of Thieves 15,38€, Horzizon FW 39,99€) • HP HyperX Gaming-Maus -51% • Alternate (Kingston Fury DDR5-6000 32GB 219,90€ statt 246€) • Samsung Galaxy S22+ 5G 128 GB 839,99€ [Werbung]
    •  /