Libgd拒绝服务漏洞通告

1.综述

GD Graphics Library（libgd）是用来动态创建图像的开源图形软件库。

GD Graphics Library中的gd_gif_in.c存在拒绝服务漏洞。在受影响版本内的PHP存在签名错误，通过构造的GIF文件调用PHP函数imagecreatefromgif或imagecreatefromstring可导致无限循环。远程攻击者可利用该漏洞造成拒绝服务攻击。

2.漏洞概述

漏洞类型：拒绝服务漏洞

危险等级： 高危

利用条件： PHP在受影响版本内，并且使用了libgd库

受影响系统： PHP 5 < 5.6.33、PHP7.0 < 7.0.27、PHP 7.1 < 7.1.13、PHP 7.2 < 7.2.1

3.漏洞编号

CVE-2018-5711 Libgd拒绝服务漏洞

4.漏洞描述

GD Graphics Library中的gd_gif_in.c存在拒绝服务漏洞。在受影响版本内的PHP存在签名错误，通过构造的GIF文件调用PHP函数imagecreatefromgif或imagecreatefromstring可导致无限循环。远程攻击者可利用该漏洞造成拒绝服务攻击。

5.漏洞利用（POC）

（该poc具备提高服务器CPU负载/引发服务器宕机能力，建议谨慎测试）

6.修复建议

升级PHP至官方最新版最新版本

下载地址：http://php.net/downloads.php

参考链接：

http://blog.orange.tw/2018/01/php-cve-2018-5711-hanging-websites-by.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5711

https://nvd.nist.gov/vuln/detail/CVE-2018-5711