Denial-of-Service-Attacke auf Grafikbibliothek GD möglich

Manipuliertes Bild führt zu 100-prozentiger CPU-Auslastung

In der freien Grafikbibliothek GD wurde ein Fehler entdeckt, der für einen Denial-of-Service-Angriff (DoS) ausgenutzt werden kann. GD kann dynamisch Bilder in Formaten wie PNG, JPEG und GIF erstellen und so beispielsweise auf Abruf Diagramme und Vorschaubilder erstellen. Vor allem im PHP-Umfeld kommt die GD-Bibliothek zum Einsatz.

Artikel veröffentlicht am , Julius Stiebert

Der auf der Sicherheits-Mailingliste Bugtraq gemeldete Fehler betrifft die aktuelle Version 2.0.33 der GD-Bibliothek und steckt in der LZW-Dekodierung, die beim Laden einer GIF-Grafik verwendet wird. Beim Laden eines manipulierten Bildes kann die Funktion "gdImageCreateFromGifPtr()" unter Umständen in einer Endlosschleife hängenbleiben und so den Prozessor zu 100 Prozent auslasten. Dies kann vor allem beim Einsatz von Content-Management-Systemen dazu führen, dass der gesamte Server lahmgelegt wird.

Stellenmarkt
  1. Berater als Projektleiter (m/w/d) Software
    wiko Bausoftware GmbH, Freiburg im Breisgau
  2. Sachbearbeiterinnen / Sachbearbeiter Verfahrensadministration (w/m/d)
    Polizei Berlin, Berlin
Detailsuche

Die in C geschriebene Grafikbibliothek bietet Wrapper für mehrere Programmiersprachen an, unter anderem für PHP. Daher kommt sie auch besonders in PHP-Skripten zum Einsatz, die dynamisch Bilder auf Webseiten generieren, zumal die Bibliothek mittlerweile mit PHP mitgeliefert wird.

Ob auch ältere Versionen der Bibliothek betroffen sind, geht aus der E-Mail nicht hervor. Ein Patch hingegen wird direkt mitgeliefert, allerdings nur als Quellcode, so dass Nutzer die betroffene Datei "gd_gif_in.c" selbst bearbeiten müssen. Ein offizielles Update für die GD-Bibliothek gibt es hingegen noch nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
DSGVO
Amazon bekommt 746 Millionen Euro Datenschutz-Strafe

Die Strafe gegen Amazon ist die wohl größte jemals von einer europäischen Datenschutzbehörde verhängte Summe. Die Kläger freuen sich.

DSGVO: Amazon bekommt 746 Millionen Euro Datenschutz-Strafe
Artikel
  1. Blue Origin: Bezos-Beschwerde zu Mondlandefähre abgelehnt
    Blue Origin
    Bezos-Beschwerde zu Mondlandefähre abgelehnt

    Damit Blue Origin doch noch den Auftrag für eine Mondlandefähre bekommt, hat Jeff Bezos Geld geboten und sich offiziell beschwert. Es half nichts.

  2. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  3. Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
    Luftsicherheit
    Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

    Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

Normal 18. Aug 2006

Warum meinst Du? Wenn es auf Shared-Hosting Systemen dazu führen kann (oder könnte...

gschmitt 08. Jun 2006

Muss man das verstehen? Btw. GD braucht keine Werbung. gschmitt



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Viewsonic XG270QG (WQHD, 165 Hz) 549,99€ • Mega-Marken-Sparen bei MediaMarkt (u. a. Razer) • Saturn: 1 Produkt zahlen, 2 erhalten • Gigabyte X570 AORUS Master 278,98€ + 30€ Cashback • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • MMOGA (u. a. Fallout 4 GOTY 9,99€) [Werbung]
    •  /