PHP libgd存在实现多个函数整数溢出漏洞
发布日期:2007-08-31
更新日期:2007-09-03
受影响系统:
PHP PHP < 5.2.4
不受影响系统:
PHP PHP 5.2.4
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2007-3996
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP的libgd实现中gdImageCreate()和gdImageCreateTrueColor()函数存在整数溢出漏洞,远程攻击者可能利用此漏洞控制服务器。
这两个函数可由ImageCreate()和ImageCreateTrueColor()直接调用。
...
im->tpixels = (int **) gdMalloc(sizeof(int *) * sy);
im->AA_opacity = (unsigned char **) gdMalloc(sizeof(unsigned char *) * sy);
...
for (i = 0; i < sy; i++) {
im->tpixels[i] = (int *) gdCalloc(sx, sizeof(int));
im->AA_opacity[i] = (unsigned char *) gdCalloc(sx, sizeof(unsigned char));
}
...
|
使用很大的sy/height或sx/width值就可以在为im->tpixels和im->AA_opacity分配内存时触发整数溢出,导致崩溃或执行任意代码。由于可从PHP代码的多个位置调用gdImageCreate()和gdImageCreateTrueColor(),如使用任意imagecreatefrom* -函数,因此可以通过向Web应用上传图形来远程触发溢出。
PHP的libgd实现中gdImageCopyResized()函数也存在整数溢出漏洞,该函数可由imagecopyresized()或imagecopyresampled()调用。
...
stx = (int *) gdMalloc (sizeof (int) * srcW);
sty = (int *) gdMalloc (sizeof (int) * srcH);
...
for (i = 0; (i < srcW); i++) {
stx[i] = dstW * (i+1) / srcW - dstW * i / srcW ;
}
for (i = 0; (i < srcH); i++) {
sty[i] = dstH * (i+1) / srcH - dstH * i / srcH ;
}
...
|
向srcW或srcH传送很大的值就会在分配stx和sty的缓冲区时触发整数溢出,分配操作后的for循环会试图写入大量数据,导致崩溃或执行任意代码。如果Web应用程序使用这个函数调整远程上传图形的大小,则上传特制图形文件就可以触发这个溢出。
<*来源:Mattias Bengtsson (mattias@secweb.se)
Philip Olausson (po@secweb.se)
链接:http://www.php.net/releases/5_2_4.php
http://secweb.se/en/advisories/php-imagecopyresized-integer-overflow/
http://secunia.com/advisories/21546/print/
http://secweb.se/en/advisories/php-imagecreatetruecolor-integer-overflow/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.php.net/releases/5_2_4.php(责任编辑:李磊)
最新相关文章发表评论