Java come PHP

21 Feb 2011 · News ed Eventi

Java Logo CupQuello che prima sembrava fosse un problema esclusivo di PHP, ora riguarda anche Java:

– la conversione del letterale 2.2250738585072011e-308 in un numero floating point in Java causa un ciclo infinito che provoca un veloce esaurimento delle risorse di CPU.

Come per il PHP, a maggior ragione i sistemi server Java sono particolarmente a rischio in quanto espongono il fianco ad attacchi che possono provocarne una paralisi totale.

Ad esempio, basterebbe semplicemente includere il letterale come parametro q all’interno di una richiesta HTTP per provocare la paralisi del server.

Anche se Oracle ha messo a conoscenza la comunità del problema da diverse settimane, solo ora è stato pubblicato un avviso.

Le versioni di Java ad essere interessate dalla vulnerabilità sono le JDK/JRE 6,5, 1.4 e precedenti.

Per risolvere il problema, Oracle ha rilasciato un hotfix che si consiglia agli utenti di applicare immediatamente, in quanto le informazioni su come sfruttare la vulnerabilità DoS sono già liberamente disponibili.

PianetaTech.it