У сервері додатків PHP виявлена небезпечна вразливість

admin Новини ІТ-безпеки

виявлена небезпечна вразливість в PHPПопулярний веб-сервер додатків PHP виявився схильним до нової і досить небезпечної вразливості, що виявляється в момент, коли відбувається обробка великих чисел з плаваючою комою.  У даний момент в сервері відбувається переповнювання буфера з наступним крахом програмного забезпечення.  За словами ІТ-фахівців, цією проблемою в PHP можуть скористатися зловмисники, щоб дістати несанкціонований доступ до серверів, де PHP працює.

Баг виникає в той момент, коли PHP обробляє великі цифри і намагається перетворити їх з рядкового формату в формат з плаваючою комою.  У цей момент в сервері додатків може відбутися збій і програма може увійти в нескінченний цикл, швидко вийшовши за межі відведеної пам'яті.(Цікаво - нова вразливість в ОС Windows)

На форумі розробників PHP повідомляється, що на базі даної помилки досить просто створити зловмисний код який руйнуватиме сервер під управлінням PHP.  Для реалізації умов багу сервера просто досить через стандартну функцію get () передати "чарівне" число.  Однак баг, судячи з усього, працює тільки на PHP 5.2 та 5.3, а також тільки на 32-бітових системах з процесорноїю архітектурою x86.  Інші системи, а також сервери x86_64 до цієї вразливості не схильні.

Для вирішення проблеми розробники PHP пропонують або оновити вихідний PHP 5.2/5.3, скачавши нові файли за адресою http://svn.php.net/viewvc?view=revision&revision=307095, або перекомпілювати існуючу версію PHP, виставивши в конфігураційних файлах додаткові прапорці  для  обробки цифр з плаваючою комою.