DoS in PHP mittels Fließkomma-Fehler möglich

Alle Systemressourcen könnte ein Fehler in PHP an sich reißen. Das Problem liegt in der Fließkoma-Berechnung. Der Entdecker hat dazu versucht, den String 2.2250738585072011e-30 in eine Fließkommazahl umzuwandeln. Das Ergebnis war ein nicht mehr reagierender Server.

Um das Problem zu verifizieren testete Rick Regan sowohl unter Windows mit PHP 5.3.1 unter XAMPP 1.7.3 und PHP 5.3.2 unter Ubuntu. PHP 5.2 scheint davon auch betroffen zu sein. Allerdings nur auf CPUs, die x87 nutzen, um Fließkommaberechnungen durchzuführen. Auf 64-Bit-Systemen scheint das problem nicht aufzutauchen. Diese verwenden SSE. Das PHP-Team hat den Fehler in der kommenden Version 5.3.5 bereits ausgebessert. Ein Patch für 5.2.16 ist ebenfalls erhältlich. (jdo)