Отказ в обслуживании в PHP

Дата публикации:
06.01.2011
Дата изменения:
08.01.2011
Всего просмотров:
3373
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:N/A:C/E:P/RL:O/RC:C) = Base:7.8/Temporal:6.1
CVE ID:
CVE-2010-4645
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
CWE ID:
Нет данных
Наличие эксплоита:
PoC код
Уязвимые продукты:
PHP 5.2.x
PHP 5.3.x
Уязвимые версии: PHP 5.2.16, 5.3.4 и более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании приложения.

Уязвимость существует из-за ошибки при обработке чисел с плавающей запятой в функции zend_strtod() в файле Zend/zend_strtod.c. Удаленный пользователь может с помощью специально сформированного запроса вызвать зацикливание приложения и потребить все доступные ресурсы процессора на системе.

URL производителя: www.php.net

Решение: Установите последнюю версию 5.2.17 или 5.3.5 с сайта производителя.
В качестве временного решения SecurityLab рекомендует использовать следующее правило mod_security:
SecRule QUERY_STRING "\d+e\-\d+" "phase:2,deny,status:403"
Ссылки: http://svn.php.net/viewvc?view=revision&revision=307095
http://www.php.net/archive/2011.php#id2011-01-06-1
Журнал изменений: 07.01.2011
Изменена секция «Решение»

или введите имя

CAPTCHA