The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости

07.01.2011 11:59

Оперативно выпущено обновление для поддерживаемой ветки интерпретатора PHP 5.3.5, а также обновление ветки 5.2.x (5.2.17), поддержку которой планировалось прекратить в прошлом месяце. В новых версиях устранена критическая ошибка, приводящая к зависанию при выполнении операций по преобразованию некоторых чисел с плавающей запятой (например, 2.2250738585072011e-308), при условии задействования в процессе преобразования x87 FPU-регистров.

Проблеме не подвержены сборки для архитектуры x86_64 или версии PHP, собранные с опцией "-ffloat-store" или "-mfpmath=sse". Для проверки на подверженность проблеме установленной версии PHP, достаточно выполнить простой PHP-скрипт, состоящий из строки $d = (double)"2.2250738585072011e-308".

  1. Главная ссылка к новости (http://www.php.net/index.php#i...)
  2. OpenNews: DoS-уязвимость при обработке некоторых чисел с плавающей запятой
  3. OpenNews: Оперативно выпущен корректирующий релиз PHP 5.2.16
  4. OpenNews: Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/29215-php
Ключевые слова: php, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:35, 07/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Ну вот, теперь через месяцев 5, глядишь, и обновятся те хосты, которые работают под Windows.
     
     
  • 2.3, Ivan1986 (?), 13:36, 07/01/2011 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Не, через 5 месяцев - это врятли, основная масса этих хостов (и именно серверов) обновится когда с сайта денвера уберут более старые версии и в варезниках они помрут, нельзя недооценивать тупость среднестатистического виндоюзера.
     

  • 1.2, gegMOPO4 (ok), 13:34, 07/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Для большинства сайтов, принимающих от пользователя действительные числа, DDOS делается простым однострочником.
     
  • 1.4, pavlinux (ok), 16:20, 07/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Кто нить может объяснит глюк с этим числом, там переполнение, округление с переполнением, деление на 0, на NAN, NAN + число,.... ???
     
     
  • 2.5, Алексей (??), 20:33, 07/01/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    > Кто нить может объяснит глюк с этим числом, там переполнение, округление с переполнением, деление на 0, на NAN, NAN + число,.... ???

    Глюк заключается в ошибке, которая возникает при *округлении* данного числа и проявляется в том, что микропроцессор входит в состояние "вечного цикла". Возникновение данной ошибки вызвано недочетами в архитектуре математического сопроцессора x87, выполняющего операции над действительными числами. Если приложение производит обработку действительных чисел на основе технологии и регистров SSE, то ошибка не возникает.

     
     
  • 3.6, pavlinux (ok), 21:13, 07/01/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Кто нить может объяснит глюк с этим числом, там переполнение, округление с переполнением, деление на 0, на NAN, NAN + число,.... ???
    > Глюк заключается в ошибке, которая возникает при *округлении* данного числа и проявляется
    > в том, что микропроцессор входит в состояние "вечного цикла". Возникновение данной
    > ошибки вызвано недочетами в архитектуре математического сопроцессора x87, выполняющего
    > операции над действительными числами. Если приложение производит обработку действительных
    > чисел на основе технологии и регистров SSE, то ошибка не возникает.

    Это всё следствия, а причина?

     
     
  • 4.7, Аноним (-), 05:20, 08/01/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    "Возникновение данной ошибки вызвано недочетами в архитектуре математического сопроцессора x87, выполняющего операции над действительными числами."
     
     
  • 5.8, pavlinux (ok), 13:09, 08/01/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    > "Возникновение данной ошибки вызвано недочетами в архитектуре математического
    > сопроцессора x87, выполняющего операции над действительными числами."

    AMD, Cyrix, Intel - пофиг?

     
     
  • 6.9, Аноним (-), 14:12, 08/01/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    Сопроцессор может быть установлен при любой архитектуре
     
     
  • 7.10, pavlinux (ok), 14:21, 08/01/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    > Сопроцессор может быть установлен при любой архитектуре

    Ну ваще-то AMD славилась тем, что выпускала процы без косяков Интела.

     
     
  • 8.11, Sw00p aka Jerom (?), 14:55, 08/01/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    ребят чё спорите откройте исходник и посмотрите что такое -mfpmath sse Copy o... текст свёрнут, показать
     
     
  • 9.12, pavlinux (ok), 15:00, 08/01/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    Да это всё понятно Интересен аппаратный косяк ... текст свёрнут, показать
     
  • 8.13, Аноним (-), 23:24, 09/01/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    Видимо не без всех косяков ... текст свёрнут, показать
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру