PHP Hash远程拒绝服务漏洞及修补方案

1、Java, 所有版本

JRuby <= 1.6.5

PHP <= 5.3.8, <= 5.4.0RC3

Python, 所有版本

Rubinius, 所有版本

Ruby <= 1.8.7-p356

Apache Geronimo, 所有版本

Apache Tomcat <= 5.5.34,<= 6.0.34, <= 7.0.22

Oracle Glassfish <= 3.1.1

Jetty, 所有版本

Plone, 所有版本

Rack, 所有版本

V8 JavaScript Engine, 所有版本

1、攻击者使用HTTP POST协议向服务器提交变量，服务器会自动跟踪变量。通过提交成千上万特别选择的名称变量，导致用来存储变量的哈希表发送名称冲突，服务器的CPU保持活跃。直到性能耗尽，从而导致服务器瘫痪，形成拒绝服务攻击。

1、PHP 5.3.9和PHP 5.4.0已经包含了针对此漏洞的补丁，但由于两个版本目前仍然在RC状态，无法用于生产服务器升级。至于PHP 5.2，官方开发组表示不会为了这个漏洞发布新版。