• IT-Karriere:
  • Services:

Denial-of-Service-Attacke auf Grafikbibliothek GD möglich

Manipuliertes Bild führt zu 100-prozentiger CPU-Auslastung

In der freien Grafikbibliothek GD wurde ein Fehler entdeckt, der für einen Denial-of-Service-Angriff (DoS) ausgenutzt werden kann. GD kann dynamisch Bilder in Formaten wie PNG, JPEG und GIF erstellen und so beispielsweise auf Abruf Diagramme und Vorschaubilder erstellen. Vor allem im PHP-Umfeld kommt die GD-Bibliothek zum Einsatz.

Artikel veröffentlicht am , Julius Stiebert

Der auf der Sicherheits-Mailingliste Bugtraq gemeldete Fehler betrifft die aktuelle Version 2.0.33 der GD-Bibliothek und steckt in der LZW-Dekodierung, die beim Laden einer GIF-Grafik verwendet wird. Beim Laden eines manipulierten Bildes kann die Funktion "gdImageCreateFromGifPtr()" unter Umständen in einer Endlosschleife hängenbleiben und so den Prozessor zu 100 Prozent auslasten. Dies kann vor allem beim Einsatz von Content-Management-Systemen dazu führen, dass der gesamte Server lahmgelegt wird.

Stellenmarkt
  1. Automotive Safety Technologies GmbH, Wolfsburg
  2. Energie Südbayern GmbH, München

Die in C geschriebene Grafikbibliothek bietet Wrapper für mehrere Programmiersprachen an, unter anderem für PHP. Daher kommt sie auch besonders in PHP-Skripten zum Einsatz, die dynamisch Bilder auf Webseiten generieren, zumal die Bibliothek mittlerweile mit PHP mitgeliefert wird.

Ob auch ältere Versionen der Bibliothek betroffen sind, geht aus der E-Mail nicht hervor. Ein Patch hingegen wird direkt mitgeliefert, allerdings nur als Quellcode, so dass Nutzer die betroffene Datei "gd_gif_in.c" selbst bearbeiten müssen. Ein offizielles Update für die GD-Bibliothek gibt es hingegen noch nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Star Wars: Der Aufstieg Skywalkers für 28,99€, Die Eiskönigin 2 für 19,99€, Parasite...
  2. (u. a. Transcend 430S 512GB SSD für 68,99€, Transcend 960GB SSD extern für 185,99€, Transcend...
  3. (aktuell u. a. Emtec T700 Lightning > USB-A 1,2m für 8,89€, Emtec T650C Type-C Hub für 36...

Normal 18. Aug 2006

Warum meinst Du? Wenn es auf Shared-Hosting Systemen dazu führen kann (oder könnte...

gschmitt 08. Jun 2006

Muss man das verstehen? Btw. GD braucht keine Werbung. gschmitt


Folgen Sie uns
       


Eigene Deep Fakes mit DeepFaceLab - Tutorial

Wir zeigen im Video, wie man mit DeepFaceLab arbeitet.

Eigene Deep Fakes mit DeepFaceLab - Tutorial Video aufrufen
Dreams im Test: Bastelwastel im Traumiversum
Dreams im Test
Bastelwastel im Traumiversum

Bereits mit Little Big Planet hat das Entwicklerstudio Media Molecule eine Kombination aus Spiel und Editor produziert, nun geht es mit Dreams noch ein paar Schritte weiter. Mit dem PS4-Titel muss man sich fast schon anstrengen, um nicht schöne Eigenkreationen zu erträumen.
Ein Test von Peter Steinlechner

  1. Ausdiskutiert Sony schließt das Playstation-Forum
  2. Sony Absatz der Playstation 4 geht weiter zurück
  3. PS4-Rücktasten-Ansatzstück im Test Tuning für den Dualshock 4

Generationenübergreifend arbeiten: Bloß nicht streiten
Generationenübergreifend arbeiten
Bloß nicht streiten

Passen Generation Silberlocke und Generation Social Media in ein IT-Team? Ganz klar: ja! Wenn sie ihr Wissen teilen, kommt am Ende sogar Besseres heraus. Entscheidend ist die gleiche Wertschätzung beider Altersgruppen und keine Konflikte in den altersgemischten Teams.
Von Peter Ilg

  1. Frauen in der Technik Von wegen keine Vorbilder!
  2. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  3. Arbeit Was IT-Recruiting von der Bundesliga lernen kann

Mythic Quest: Spielentwickler im Schniedelstress
Mythic Quest
Spielentwickler im Schniedelstress

Zweideutige Zweckentfremdung von Ingame-Extras, dazu Ärger mit Hackern und Onlinenazis: Die Apple-TV-Serie Mythic Quest bietet einen interessanten, allerdings nur stellenweise humorvollen Einblick in die Spielebrache.
Eine Rezension von Peter Steinlechner

  1. Apple TV TVOS 13 mit Mehrbenutzer-Option erschienen

    •  /