DOS-lek niet gedicht met OS X update.

Gisteren melden we u al dat Mac OS X 10.7.3 uit is en dat deze update wel vele patches bevat voor allerlei kleinere lekken van de vorige versie.

De grote update die we trouwens iedereen aanraden dicht zo’n ruim dertig gaten. Het is afhankelijk van de huidige versie van de gebruiker, hoe groot de update is. Deze kan tussen de 700 MB en de 1,5 GB groot liggen. De grote lekken zoals Apach-server krijgen dankzij deze update een vulling.

Wat ons wel verbaasd is dat het in december ontdekte DoS-lek niet is opgelost. Bijzonder aan dit lek is dat een webserver platgelegd kan worden zonder dat er de verzamelde capaciteit van een botnet nodig is. Een pakket van slechts 100 kilobyte is voldoende om één processorcore van een webserver uit te schakelen.

Beheerders kunnen zelf wel de instellingen van PHP aanpassen om het probleem te ondervangen. PHP raadt gebruikers aan de parameter ‘max_input_vars’ aan te passen. Dat moet voor gebruikers op oudere PHP-versies voldoende bescherming tegen het lek bieden.

We hopen dat Apple bij de volgende update wel dit Denial of Service-gat (DoS) zal dichten door de versie van PHP versie 5.3.8 mee te sturen in hun update.