• <cite id="us9d6"></cite>
  • <tt id="us9d6"><noscript id="us9d6"></noscript></tt>
  • <cite id="us9d6"></cite>

      <cite id="us9d6"><span id="us9d6"></span></cite>
    1. <cite id="us9d6"></cite>

    2. <tt id="us9d6"><span id="us9d6"></span></tt><rp id="us9d6"></rp><s id="us9d6"><div id="us9d6"></div></s>
    3. 當前位置: 首頁 >> 信息安全 >> 正文

      關于PHP GD Graphics Library存在拒絕服務漏洞的安全公告

      2018年02月02日 17:07  點擊:[]

      2018年1月18日,國家信息安全漏洞共享平臺(CNVD)收錄了PHP GD Graphics Library存在拒絕服務漏洞(CNVD-2018-02505,對應CVE-2018-5711)。綜合利用上述漏洞,攻擊者可以構造惡意GIF文件,遠程利用PHP函數形成無限循環的方式發起拒絕服務攻擊。目前,漏洞利用代碼已公開,且廠商已發布漏洞修復版本。

             一、漏洞情況分析 

       

             PHP(超文本預處理器)是一種通用開源腳本語言。GD Graphics Library(又名libgd或libgd2)是一個開源的用于動態創建圖像的庫,它支持創建圖表、圖形和縮略圖等,廣泛應用于PHP語言的開發。

             該漏洞觸發的前提條件為受影響版本的PHP,并且使用了libgd庫,漏洞文件存在于ext/gd/libgd/gd_gif_in.c。在“LWZReadByte_”函數存在一個循環(while-loop),該循環里“GetCode_”函數會調用GetDataBlock來讀取GIF圖片中的數據,但由于“GetCode_”函數未能正確處理int到unsigned char的類型轉換,導致PHP在解析特定GIF文件調用PHP函數imagecreatefromgif或imagecreatefromstring時出現死循環,從而導致服務器計算資源大量消耗,直至崩潰宕機。該漏洞允許遠程攻擊者利用該漏洞導致拒絕服務攻擊。

             CNVD對上述漏洞的綜合評級為“高?!?。

             二、漏洞影響范圍

       

             PHP 5 < 5.6.33版本

             PHP 7.0 < 7.0.27版本

             PHP 7.1 < 7.1.13版本

             PHP 7.2 < 7.2.1版本

            三、漏洞修復建議 

       

             目前,廠商已發布升級新版本以修復該漏洞,最新版本下載鏈接http://php.net/downloads.php。

             附:參考鏈接:

       

             http://php.net/ChangeLog-7.php 

             https://bugs.php.net/bug.php?id=75571 

             http://www.cnvd.org.cn/flaw/show/CNVD-2018-02505 

      上一條:關于利用memcached服務器實施反射DDoS攻擊的情況通報 下一條:關于OAuth 2.0存在第三方帳號快捷登錄授權劫持漏洞的安全公告

      成长AV影片免费观看网站,大香伊蕉99大香伊蕉免费视频,大香伊蕉在人线国产AV_日韩