Vulnerabilidad en PHP y parche correspondiente
PHP ha publicado la versión 5.3.5 (5.2.17 para la rama 5.2) que corrige
un fallo que podría causar una denegación de servicio a través de
múltiples vectores.
PHP es un popular lenguaje de programación de código abierto usado
principalmente en la creación de sitios y aplicaciones web.
El error reside en la conversión de cierta constante flotante desde
una cadena. Por ejemplo:
$var = (double)”2.2250738585072011e-308″;
Esta conversión hace que PHP haga un consumo excesivo de ciclos de la
CPU causando que el proceso deje de responder.
La vulnerabilidad es particularmente significativa debido a que puede
ser provocada en cualquier contexto que involucre la entrada de datos y
su posterior conversión a ‘double’.
El fallo, localizado en la función ‘zend_strtod’, solo afecta a ciertas
compilaciones de 32 bits para la arquitectura x86. A su vez está
relacionado con un fallo en la arquitectura de la FPU x87.
La vulnerabilidad tiene asignado el CVE-2010-4645 y fue informada por
Rick Regan.
Fuente
Comentario:
Conviene tenerlo en cuenta los que dispongan de paginas web con PHP…
saludos
ms, 11-1-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. En este momento no se permiten comentarios, pero puedes enviar un trackback desde tu propio sitio.
Los comentarios están cerrados.