1.综述
GD Graphics Library(libgd)是用来动态创建图像的开源图形软件库。
GD Graphics Library中的gd_gif_in.c存在拒绝服务漏洞。在受影响版本内的PHP存在签名错误,通过构造的GIF文件调用PHP函数imagecreatefromgif或imagecreatefromstring可导致无限循环。远程攻击者可利用该漏洞造成拒绝服务攻击。
2.漏洞概述
漏洞类型:拒绝服务漏洞
危险等级: 高危
利用条件: PHP在受影响版本内,并且使用了libgd库
受影响系统: PHP 5 < 5.6.33、PHP7.0 < 7.0.27、PHP 7.1 < 7.1.13、PHP 7.2 < 7.2.1
3.漏洞编号
CVE-2018-5711 Libgd拒绝服务漏洞
4.漏洞描述
GD Graphics Library中的gd_gif_in.c存在拒绝服务漏洞。在受影响版本内的PHP存在签名错误,通过构造的GIF文件调用PHP函数imagecreatefromgif或imagecreatefromstring可导致无限循环。远程攻击者可利用该漏洞造成拒绝服务攻击。
5.漏洞利用(POC)
(该poc具备提高服务器CPU负载/引发服务器宕机能力,建议谨慎测试)
6.修复建议
升级PHP至官方最新版最新版本
下载地址:http://php.net/downloads.php
参考链接:
http://blog.orange.tw/2018/01/php-cve-2018-5711-hanging-websites-by.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5711
https://nvd.nist.gov/vuln/detail/CVE-2018-5711
领取专属 10元无门槛券
私享最新 技术干货