Java, уязвимость при парсинге double

0

1

Double.parseDouble(«2.2250738585072012e-308») уходит в бесконечный цикл. Убедитесь, что не парсите входные значения с помощью этой функции, или используйте workaround, пока баг не пофиксят.

Ссылка

←	Knowledge-Base software

Сборка модуля ядра (WARNING: «f» [m] undefined!)

→

и не компилируйте double d = 2.2250738585072012e-308;

Pi ★★★★★
(02.02.11 11:33:39 MSK)

Ответ на: комментарий от Pi 02.02.11 11:33:39 MSK

> и не компилируйте double d = 2.2250738585072012e-308;

а я только что скомпилировал и запустил, зря наверное

~~aho~~
(02.02.11 11:36:45 MSK)

Ссылка

Ответ на: комментарий от Pi 02.02.11 11:33:39 MSK

Компилировать то ладно, а вот если кульхацкер наплодит повисших тредов, то вполне DoS может выйти.

~~Legioner~~ ★★★★★
(02.02.11 11:44:06 MSK) автор топика

Ответ на: комментарий от Legioner 02.02.11 11:44:06 MSK

на самом деле это сарказм. тот факт, что это обнаружилось только сейчас, говорит о том, что проблемы нет :)

Pi ★★★★★
(02.02.11 11:49:28 MSK)

Ответ на: комментарий от Pi 02.02.11 11:49:28 MSK

на самом деле это сарказм. тот факт, что это обнаружилось только сейчас, говорит о том, что проблемы нет :)

Что-то я в этом не уверен.

pathfinder ★★★★
(02.02.11 11:51:01 MSK)

Ответ на: комментарий от pathfinder 02.02.11 11:51:01 MSK

Лучше бы сначала сделали багфикс, а потом выкладывали информацию об этой проблеме.

pathfinder ★★★★
(02.02.11 11:52:22 MSK)

Ссылка

Ответ на: комментарий от Pi 02.02.11 11:33:39 MSK

Перед вставкой этого кода в свою IDE проверьте, что сохранили всю работу :)

Droid790 ★
(02.02.11 11:55:26 MSK)

Ссылка

Ответ на: комментарий от Pi 02.02.11 11:49:28 MSK

говорит о том, что проблемы нет :)

Блин, что-то мне подсказывает, что сейчас пол-ЛОРа, начиная от maxcom-а и заканчивая последними маргиналами, прочесывает исходники движка сайта, каждый со своей целью.

Черт его знает, но ИМХО проблема может быть очень серьезной.

pathfinder ★★★★
(02.02.11 12:03:29 MSK)

Ответ на: комментарий от pathfinder 02.02.11 12:03:29 MSK

прочесывает на предмет чего, простите?

в моем хозяйстве тонны явовского кода. расскажите, что мне делать?

Pi ★★★★★
(02.02.11 12:06:11 MSK)

как бэ на хабре уже было

sacred ★★
(02.02.11 12:15:38 MSK)

Ссылка

Ответ на: комментарий от Pi 02.02.11 12:06:11 MSK

прочесывает на предмет чего, простите?

в моем хозяйстве тонны явовского кода. расскажите, что мне делать?

Внутренний голос подсказывает, что тут должен быть какой-то тонкий сарказм, но я что-то не могу въехать, видать туплю. Ну да ладно.

прочесывает на предмет чего, простите?

на предмет наличия Double.parseDouble() в коде. Если такое найдется и если будет возможность передать «свою» строку этому методу, то это можно будет использовать в «грязных целях». Legioner уже сказал:

Компилировать то ладно, а вот если кульхацкер наплодит повисших тредов, то вполне DoS может выйти.

в моем хозяйстве тонны явовского кода. расскажите, что мне делать?

Ждать багфикса. Хотя все прочесать поиском текста «parseDouble» и посмотреть не ли «опасных» мест, не помешало бы. Это не поможет от неявных использований parseDouble().

pathfinder ★★★★
(02.02.11 12:37:03 MSK)

Ссылка

попробовал

http://www.linux.org.ru/forum/development/2.2250738585072012e-308

ничего интересного

dimon555 ★★★★★
(03.02.11 01:56:25 MSK)

Ссылка

Кто-нибудь, попробуйте откомпилировать такое же в Delphi. :))

iZEN ★★★★★
(03.02.11 01:59:51 MSK)

Ссылка

В портах для FreeBSD пришли обновления.
java/jdk15 — 1.5.0.16p9_10,1
java/jdk16 — 1.6.0.3p4_21
java/openjdk6 — b20_8
java/openjdk7 — 7.0.122_1
— Fix infinite loop in parsing certain doubles. See CVE-2010-4476.

iZEN ★★★★★
(09.02.11 20:54:46 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Knowledge-Base software

Development

Сборка модуля ядра (WARNING: «f» [m] undefined!)

→

Похожие темы