Сёння стала вядома аб наяўнасці ўразлівасці ў PHP 5.2.x і 5.3.x, якая здольная спажыць усе даступныя рэсурсы працэсара на сістэме. Уразлівасць існуе з-за памылкі пры апрацоўцы лікаў з якая плавае коскі ў функцыі zend_strtod() у файле Zend/zend_strtod.c. Такім чынам, апрацоўка лікаў 0.22250738585072011e-307, 22.250738585072011e-309 і 22250738585072011e-324 можа справакаваць зацыкленне прыкладання. Уразлівасць можа эксплуатавацца выдалена, калі PHP прыкладанне ажыццяўляе вызначаныя аперацыі з уваходнымі дадзенымі. Вытворца выпусціў выпраўленне памылкі, даступнае праз SVN для версій PHP 5.2.16 і 5.3.4. У якасці часавага рашэння SecurityLab рэкамендуе заблакаваць з дапамогай mod_security запыты да PHP сцэнарам, утрымоўвальныя ў якасці параметраў занадта доўгія лікі:
SecRule QUERY_STRING "d+e-d+" "phase:2,deny,status:403"
рэкамендуем прачытаць таксама
- Zend больш не будзе выпускаць прадукты для FreeBSD
- PHP запрацуе на серверах IBM System i
- Zend Technologies, IBM і Microsoft распрацоўваюць адзіны API для «крос-хмарных» прыкладанняў
- Вядзецца распрацоўка адзінага API для «крос-хмарных» прыкладанняў
- Крытычная ўразлівасць у Microsoft Office Web Components Spreadsheet ActiveX кампаненце