Libgd拒绝服务漏洞通告

1.综述

GD Graphics Library(libgd)是用来动态创建图像的开源图形软件库。

GD Graphics Library中的gd_gif_in.c存在拒绝服务漏洞。在受影响版本内的PHP存在签名错误,通过构造的GIF文件调用PHP函数imagecreatefromgif或imagecreatefromstring可导致无限循环。远程攻击者可利用该漏洞造成拒绝服务攻击。

2.漏洞概述

漏洞类型:拒绝服务漏洞

危险等级: 高危

利用条件: PHP在受影响版本内,并且使用了libgd库

受影响系统: PHP 5 < 5.6.33、PHP7.0 < 7.0.27、PHP 7.1 < 7.1.13、PHP 7.2 < 7.2.1

3.漏洞编号

CVE-2018-5711 Libgd拒绝服务漏洞

4.漏洞描述

GD Graphics Library中的gd_gif_in.c存在拒绝服务漏洞。在受影响版本内的PHP存在签名错误,通过构造的GIF文件调用PHP函数imagecreatefromgif或imagecreatefromstring可导致无限循环。远程攻击者可利用该漏洞造成拒绝服务攻击。

5.漏洞利用(POC)

(该poc具备提高服务器CPU负载/引发服务器宕机能力,建议谨慎测试)

6.修复建议

升级PHP至官方最新版最新版本

下载地址:http://php.net/downloads.php

参考链接:

http://blog.orange.tw/2018/01/php-cve-2018-5711-hanging-websites-by.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5711

https://nvd.nist.gov/vuln/detail/CVE-2018-5711

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180131G0ZSYF00?refer=cp_1026

相关快讯

扫码关注云+社区