PHP-Fehler: Eine Zahl kann das System lahm legen

Die Skriptsprache PHP weist einen Fehler auf, durch den Angreifer ein System lahmlegen können, wenn eine bestimmte Funktion zur Umwandlung von Zahlen zum Einsatz kommt. Das Problem tritt auf, wenn die als String eingegebene Zahl 2.2250738585072011e-308 mit "zend_strtod" in eine Gleitkommazahl umgewandelt wird. Dies führt intern zu einer Endlosschleife, die das betroffene System komplett auslastet. Auch bei den Zahlen 0.22250738585072011e-307, 22.250738585072011e-309 und 22250738585072011e-324 tritt der Bug auf.

Allerdings ist der Fehler auf bestimmte Rechner beschränkt. Voraussetzung ist ein 32-Bit-System mit Intel-Prozessor, dass den x87-Befehlssatz zur Berechnung von Gleitkommazahlen einsetzt. 64-Bit-Systeme sind von dem Problem nicht betroffen.

Der Bug tritt bei den PHP-Versionen 5.2 und 5.3 auf. Das Entwickler-Team hat bereits einen Patch für die Version 5.2.16 bereitgestellt. Außerdem wurde angekündigt, dass das Problem auch in der Fassung 5.3.5 behoben sein wird.

Diese Nachricht empfehlen

Kommentieren23

Weitere Nachrichten zum Thema Facebook hat PHP noch einmal deutlich beschleunigtPHP.net-Server gehackt, Webseite verteilte MalwarePHP dient Webentwicklern nun schon seit 15 JahrenFacebook beschleunigt die Skriptsprache PHPZend & Adobe: PHP und Flex werden enger verzahntMicrosoft will Programmiersprache PHP unterstützen