forum.opennet.ru - "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости" (13)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"	+/–
Сообщение от opennews (??) on 07-Янв-11, 12:35
Оперативно выпущено (http://www.php.net/index.php#id2011-01-06-1) обновление для поддерживаемой ветки интерпретатора PHP 5.3.5 (http://www.php.net/releases/5_3_5.php), а также обновление ветки 5.2.x (5.2.17 (http://www.php.net/releases/5_2_17.php)), поддержку которой планировалось прекратить в прошлом месяце. В новых версиях устранена критическая ошибка (http://www.opennet.me/opennews/art.shtml?num=29203), приводящая к зависанию при выполнении операций по преобразованию некоторых чисел с плавающей запятой (например, 2.2250738585072011e-308), при условии задействования в процессе преобразования x87 FPU-регистров. Проблеме не подвержены сборки для архитектуры x86_64 или версии PHP, собранные с опцией "-ffloat-store" или "-mfpmath=sse". Для проверки на подверженность проблеме установленной версии PHP, достаточно выполнить простой PHP-скрипт (http://www.php.net/distributions/test_bug53632.txt), состоящий из строки $d = (double)"2.2250738585072011e-308". URL: http://www.php.net/index.php#id2011-01-06-1 Новость: http://www.opennet.me/opennews/art.shtml?num=29215
Ответить \| Правка \| Cообщить модератору

Оглавление

Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости, Аноним, 12:35 , 07-Янв-11, (1)

Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости, Ivan1986, 13:36 , 07-Янв-11, (3) +1

Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости, gegMOPO4, 13:34 , 07-Янв-11, (2) +2
Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости, pavlinux, 16:20 , 07-Янв-11, (4)

Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости, Алексей, 20:33 , 07-Янв-11, (5)

Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости, pavlinux, 21:13 , 07-Янв-11, (6)

Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости, Аноним, 05:20 , 08-Янв-11, (7)

Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости, pavlinux, 13:09 , 08-Янв-11, (8)

Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости, Аноним, 14:12 , 08-Янв-11, (9)

Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости, pavlinux, 14:21 , 08-Янв-11, (10)

Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости, Sw00p aka Jerom, 14:55 , 08-Янв-11, (11)

Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости, pavlinux, 15:00 , 08-Янв-11, (12)

Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости, Аноним, 23:24 , 09-Янв-11, (13)

Сообщения по теме [Сортировка по времени | RSS]

1. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости" +/–

Сообщение от Аноним (??) on 07-Янв-11, 12:35

Ну вот, теперь через месяцев 5, глядишь, и обновятся те хосты, которые работают под Windows.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости" +1 +/–

Сообщение от Ivan1986 on 07-Янв-11, 13:36

Не, через 5 месяцев - это врятли, основная масса этих хостов (и именно серверов) обновится когда с сайта денвера уберут более старые версии и в варезниках они помрут, нельзя недооценивать тупость среднестатистического виндоюзера.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости" +2 +/–

Сообщение от gegMOPO4 (ok) on 07-Янв-11, 13:34

Для большинства сайтов, принимающих от пользователя действительные числа, DDOS делается простым однострочником.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости" +/–

Сообщение от pavlinux (ok) on 07-Янв-11, 16:20

Кто нить может объяснит глюк с этим числом, там переполнение, округление с переполнением, деление на 0, на NAN, NAN + число,.... ???

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости" +/–

Сообщение от Алексей (??) on 07-Янв-11, 20:33

> Кто нить может объяснит глюк с этим числом, там переполнение, округление с переполнением, деление на 0, на NAN, NAN + число,.... ???
Глюк заключается в ошибке, которая возникает при *округлении* данного числа и проявляется в том, что микропроцессор входит в состояние "вечного цикла". Возникновение данной ошибки вызвано недочетами в архитектуре математического сопроцессора x87, выполняющего операции над действительными числами. Если приложение производит обработку действительных чисел на основе технологии и регистров SSE, то ошибка не возникает.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости" +/–

Сообщение от pavlinux (ok) on 07-Янв-11, 21:13

>> Кто нить может объяснит глюк с этим числом, там переполнение, округление с переполнением, деление на 0, на NAN, NAN + число,.... ???
> Глюк заключается в ошибке, которая возникает при *округлении* данного числа и проявляется
> в том, что микропроцессор входит в состояние "вечного цикла". Возникновение данной
> ошибки вызвано недочетами в архитектуре математического сопроцессора x87, выполняющего
> операции над действительными числами. Если приложение производит обработку действительных
> чисел на основе технологии и регистров SSE, то ошибка не возникает.
Это всё следствия, а причина?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости" +/–

Сообщение от Аноним (??) on 08-Янв-11, 05:20

"Возникновение данной ошибки вызвано недочетами в архитектуре математического сопроцессора x87, выполняющего операции над действительными числами."

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости" +/–

Сообщение от pavlinux (ok) on 08-Янв-11, 13:09

> "Возникновение данной ошибки вызвано недочетами в архитектуре математического
> сопроцессора x87, выполняющего операции над действительными числами."
AMD, Cyrix, Intel - пофиг?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости" +/–

Сообщение от Аноним (??) on 08-Янв-11, 14:12

Сопроцессор может быть установлен при любой архитектуре

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости" +/–

Сообщение от pavlinux (ok) on 08-Янв-11, 14:21

> Сопроцессор может быть установлен при любой архитектуре
Ну ваще-то AMD славилась тем, что выпускала процы без косяков Интела.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости" +/–

Сообщение от Sw00p aka Jerom on 08-Янв-11, 14:55

ребят чё спорите откройте исходник и посмотрите что такое -mfpmath=sse
/* Copy of the contents of xpfpa.h (which is under public domain)

32    See http://wiki.php.net/rfc/rounding for details.

33
34    Cross Platform Floating Point Arithmetics

35
36    This header file defines several platform-dependent macros that ensure

37    equal and deterministic floating point behaviour across several platforms,

38    compilers and architectures.

39
40    The current macros are currently only used on x86 and x86_64 architectures,

41    on every other architecture, these macros expand to NOPs. This assumes that
42    other architectures do not have an internal precision and the operhand types

43    define the computational precision of floating point operations. This

44    assumption may be false, in that case, the author is interested in further

45    details on the other platform.

46
47    For further details, please visit:

48    http://www.christian-seiler.de/projekte/fpmath/

49
50    Version: 20090317 */

51
52 /*

53  Implementation notes:

54
55  x86_64:

56   - Since all x86_64 compilers use SSE by default, it is probably unecessary

57     to use these macros there. We define them anyway since we are too lazy

58     to differentiate the architecture. Also, the compiler option -mfpmath=i387

59     justifies this decision.

60
61  General:

62   - It would be nice if one could detect whether SSE if used for math via some

63     funky compiler defines and if so, make the macros go to NOPs. Any ideas

64     on how to do that?

65
66  MS Visual C:

67   - Since MSVC users tipically don't use autoconf or CMake, we will detect

68     MSVC via compile time define.

69 */

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости" +/–

Сообщение от pavlinux (ok) on 08-Янв-11, 15:00

> ребят чё спорите откройте исходник и посмотрите что такое -mfpmath=sse
> /* Copy of the contents of xpfpa.h (which is under public domain)
> 32    See http://wiki.php.net/rfc/rounding for details.
Да это всё понятно. Интересен аппаратный косяк.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости" +/–

Сообщение от Аноним (??) on 09-Янв-11, 23:24

Видимо не без всех косяков :)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"	+/–
Сообщение от Аноним (??) on 07-Янв-11, 12:35
Ну вот, теперь через месяцев 5, глядишь, и обновятся те хосты, которые работают под Windows.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"	+1 +/–
	Сообщение от Ivan1986 on 07-Янв-11, 13:36
	Не, через 5 месяцев - это врятли, основная масса этих хостов (и именно серверов) обновится когда с сайта денвера уберут более старые версии и в варезниках они помрут, нельзя недооценивать тупость среднестатистического виндоюзера.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"	+2 +/–
Сообщение от gegMOPO4 (ok) on 07-Янв-11, 13:34
Для большинства сайтов, принимающих от пользователя действительные числа, DDOS делается простым однострочником.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

4. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"	+/–
Сообщение от pavlinux (ok) on 07-Янв-11, 16:20
Кто нить может объяснит глюк с этим числом, там переполнение, округление с переполнением, деление на 0, на NAN, NAN + число,.... ???
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"	+/–
	Сообщение от Алексей (??) on 07-Янв-11, 20:33
	> Кто нить может объяснит глюк с этим числом, там переполнение, округление с переполнением, деление на 0, на NAN, NAN + число,.... ??? Глюк заключается в ошибке, которая возникает при округлении данного числа и проявляется в том, что микропроцессор входит в состояние "вечного цикла". Возникновение данной ошибки вызвано недочетами в архитектуре математического сопроцессора x87, выполняющего операции над действительными числами. Если приложение производит обработку действительных чисел на основе технологии и регистров SSE, то ошибка не возникает.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"	+/–
	Сообщение от pavlinux (ok) on 07-Янв-11, 21:13
	>> Кто нить может объяснит глюк с этим числом, там переполнение, округление с переполнением, деление на 0, на NAN, NAN + число,.... ??? > Глюк заключается в ошибке, которая возникает при округлении данного числа и проявляется > в том, что микропроцессор входит в состояние "вечного цикла". Возникновение данной > ошибки вызвано недочетами в архитектуре математического сопроцессора x87, выполняющего > операции над действительными числами. Если приложение производит обработку действительных > чисел на основе технологии и регистров SSE, то ошибка не возникает. Это всё следствия, а причина?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"	+/–
	Сообщение от Аноним (??) on 08-Янв-11, 05:20
	"Возникновение данной ошибки вызвано недочетами в архитектуре математического сопроцессора x87, выполняющего операции над действительными числами."
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"	+/–
	Сообщение от pavlinux (ok) on 08-Янв-11, 13:09
	> "Возникновение данной ошибки вызвано недочетами в архитектуре математического > сопроцессора x87, выполняющего операции над действительными числами." AMD, Cyrix, Intel - пофиг?
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"	+/–
	Сообщение от Аноним (??) on 08-Янв-11, 14:12
	Сопроцессор может быть установлен при любой архитектуре
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"	+/–
	Сообщение от pavlinux (ok) on 08-Янв-11, 14:21
	> Сопроцессор может быть установлен при любой архитектуре Ну ваще-то AMD славилась тем, что выпускала процы без косяков Интела.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"	+/–
	Сообщение от Sw00p aka Jerom on 08-Янв-11, 14:55
	ребят чё спорите откройте исходник и посмотрите что такое -mfpmath=sse /* Copy of the contents of xpfpa.h (which is under public domain) 32 See http://wiki.php.net/rfc/rounding for details. 33 34 Cross Platform Floating Point Arithmetics 35 36 This header file defines several platform-dependent macros that ensure 37 equal and deterministic floating point behaviour across several platforms, 38 compilers and architectures. 39 40 The current macros are currently only used on x86 and x86_64 architectures, 41 on every other architecture, these macros expand to NOPs. This assumes that 42 other architectures do not have an internal precision and the operhand types 43 define the computational precision of floating point operations. This 44 assumption may be false, in that case, the author is interested in further 45 details on the other platform. 46 47 For further details, please visit: 48 http://www.christian-seiler.de/projekte/fpmath/ 49 50 Version: 20090317 / 51 52 / 53 Implementation notes: 54 55 x86_64: 56 - Since all x86_64 compilers use SSE by default, it is probably unecessary 57 to use these macros there. We define them anyway since we are too lazy 58 to differentiate the architecture. Also, the compiler option -mfpmath=i387 59 justifies this decision. 60 61 General: 62 - It would be nice if one could detect whether SSE if used for math via some 63 funky compiler defines and if so, make the macros go to NOPs. Any ideas 64 on how to do that? 65 66 MS Visual C: 67 - Since MSVC users tipically don't use autoconf or CMake, we will detect 68 MSVC via compile time define. 69 */
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"	+/–
	Сообщение от pavlinux (ok) on 08-Янв-11, 15:00
	> ребят чё спорите откройте исходник и посмотрите что такое -mfpmath=sse > /* Copy of the contents of xpfpa.h (which is under public domain) > 32 See http://wiki.php.net/rfc/rounding for details. Да это всё понятно. Интересен аппаратный косяк.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Обновление PHP 5.3.5 и 5.2.17 с исправлением DoS-уязвимости"	+/–
	Сообщение от Аноним (??) on 09-Янв-11, 23:24
	Видимо не без всех косяков :)
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору