zurück zum Artikel

Die Umwandlung von Zeichenketten in Gleitkommazahlen bringt Java aus dem Tritt. Insbesondere Server-Systeme auf Grundlage von Java laufen Gefahr, aus der Ferne zum Absturz gebracht zu werden.

Erst ist PHP darüber gestolpert [1], nun kommt Java ins Straucheln: Die Umwandlung des Literals "2.2250738585072012e-308" in eine Gleitkommazahl führt zu einer Endlosschleife in Java, in dessen Folge die CPU voll ausgelastet wird. Insbesondere Server-Systeme laufen damit Gefahr, aus der Ferne abgeschossen zu werden. Dazu genügt es beispielsweise, in HTTP-Request-Headern das Literal als Parameter q [2] mitzusenden.

Oracle soll über das Problem zwar bereits seit einigen Wochen informiert sein, hat jedoch erst jetzt eine Warnung veröffentlicht [3]. Betroffen sind Java SE und Java for Business in aktuellen und vorhergehenden Version von JDK/JRE 6, 5 und 1.4. Ein Hotfix [4] des Herstellers soll das Problem lösen, er empfiehlt es möglichst bald zu installiere, da die Informationen [5] zum Ausnutzen der DoS-Schwachstelle bereits frei verfügbar sind. Für den 15. Februar plant der Hersteller zudem ein reguläres Update von Java. (dab [6])

URL dieses Artikels:
https://www.heise.de/-1185967

Links in diesem Artikel:
[1] https://www.heise.de/news/PHP-5-3-5-5-2-17-Floating-Point-Bug-behoben-1164801.html
[2] http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html
[3] http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html
[4] http://www.oracle.com/technetwork/java/javase/downloads/index.html#fpupdater
[5] http://www.exploringbinary.com/java-hangs-when-converting-2-2250738585072012e-308/
[6] mailto:dab@ct.de

Copyright © 2011 Heise Medien