PHPのDoS脆弱性(CVE-2015-4024)キツくない? - 出張おはき゛ろく2015/05/14にリリースされたPHP 5.4.41/5.5.25/5.6.9で修正されたDoS脆弱性がある。 Fixed bug #69364 (PHP Multipart/form-data remote dos Vulnerability). (CVE-2015-4024) バグレポートに細かい話(原理から再現手順まで)が載ってて、要は細工したリクエストを送るだけで、しばらくCPUリソースを浪費するって話と読み取った。リクエストパラメータをパースする段階で起こるので、脆弱性のあるバージョンのPHPをHTTPサーバ経由で実行できる環境が全て影響を受けるんじゃないかなあ。 数年前に話題になったHashdosと、攻撃のお手軽さも影響も大差はない気がするんだけど、あんまり騒がれていない気がする。なんでなんだろう。 いやまぁHashdosはいろんな処理系に共通してたから話題になったんだろう
