ハッシュの競合とサービス拒否攻撃を防ぐための PHP5.2.* パッチ

以前の 2 つの記事 (ハッシュ競合の構築によるさまざまな言語でのサービス拒否攻撃、PHP 配列でのハッシュ競合の例) で紹介したように、この攻撃方法は非常に有害であり、攻撃コストは非常に小さいです。数十、数百のサーバーを簡単に破壊しました。

Pierre と連絡を取った後、公式開発チームはこの目的のために PHP 5.2.18 をリリースしませんが、多くの企業がまだ 5.2 を使用しているため、dmitry が 5.4 から 5.2 にそれぞれ作成したパッチを特別に適用しました。

PHP 5.2 を使用していてそのような攻撃の脅威にさらされている場合は、次のパッチを適用できます。PHP 5.3 の場合は、このパッチがすでに含まれている 5.3.9 にアップグレードすることを検討できます (5.3.9 は現在 RC ステータスであるため)。アップグレードしない場合は、このパッチを参照して 5.3 用のパッチを作成することもできます):

https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars

追加 (2012 年 1 月 8 日): Windows で PHP を使用している場合、またはその他の理由でパッチ方式を使用するのが不便な場合は、問題を軽減するために PHP 構成の max_input_time をより小さい値に変更することもできます。このような攻撃の影響

また、JavaやRubyなど他の言語についても、post_sizeの制限は恒久的な解決策ではなく一時的な解決策となりますが、一時的な解決策としてご利用いただけますので、事前にご検討ください。

この記事のURL：http://www.laruence.com/2011/12/30/2440.html