• IT-Karriere:
  • Services:

Denial-of-Service-Attacke auf Grafikbibliothek GD möglich

Manipuliertes Bild führt zu 100-prozentiger CPU-Auslastung

In der freien Grafikbibliothek GD wurde ein Fehler entdeckt, der für einen Denial-of-Service-Angriff (DoS) ausgenutzt werden kann. GD kann dynamisch Bilder in Formaten wie PNG, JPEG und GIF erstellen und so beispielsweise auf Abruf Diagramme und Vorschaubilder erstellen. Vor allem im PHP-Umfeld kommt die GD-Bibliothek zum Einsatz.

Artikel veröffentlicht am , Julius Stiebert

Der auf der Sicherheits-Mailingliste Bugtraq gemeldete Fehler betrifft die aktuelle Version 2.0.33 der GD-Bibliothek und steckt in der LZW-Dekodierung, die beim Laden einer GIF-Grafik verwendet wird. Beim Laden eines manipulierten Bildes kann die Funktion "gdImageCreateFromGifPtr()" unter Umständen in einer Endlosschleife hängenbleiben und so den Prozessor zu 100 Prozent auslasten. Dies kann vor allem beim Einsatz von Content-Management-Systemen dazu führen, dass der gesamte Server lahmgelegt wird.

Stellenmarkt
  1. Universität Hamburg, Hamburg
  2. IT-Servicezentrum der bayerischen Justiz, Amberg/Oberpfalz, München, Nürnberg, Augsburg, Schwabmünchen

Die in C geschriebene Grafikbibliothek bietet Wrapper für mehrere Programmiersprachen an, unter anderem für PHP. Daher kommt sie auch besonders in PHP-Skripten zum Einsatz, die dynamisch Bilder auf Webseiten generieren, zumal die Bibliothek mittlerweile mit PHP mitgeliefert wird.

Ob auch ältere Versionen der Bibliothek betroffen sind, geht aus der E-Mail nicht hervor. Ein Patch hingegen wird direkt mitgeliefert, allerdings nur als Quellcode, so dass Nutzer die betroffene Datei "gd_gif_in.c" selbst bearbeiten müssen. Ein offizielles Update für die GD-Bibliothek gibt es hingegen noch nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. mit 276,98€ neuer Bestpreis auf Geizhals
  2. (u. a. MateBook D 15 Zoll Ultrabook Ryzen 7 8GB 512GB SSD für 699€, MateBook X Pro 2020 13,9...
  3. 117,49€ inkl. 20-Euro-Steam-Gutschein
  4. 266€ inkl. 20-Euro-Steam-Gutschein

Normal 18. Aug 2006

Warum meinst Du? Wenn es auf Shared-Hosting Systemen dazu führen kann (oder könnte...

gschmitt 08. Jun 2006

Muss man das verstehen? Btw. GD braucht keine Werbung. gschmitt


Folgen Sie uns
       


Die Tesla-Baustelle von oben 2020-2021

Wir haben den Fortschritt in Grünheide dokumentiert.

Die Tesla-Baustelle von oben 2020-2021 Video aufrufen
Cyberpunk 2077: So wunderbar kaputt!
Cyberpunk 2077
So wunderbar kaputt!

Auch nach einem Monat mit Cyberpunk 2077 sind uns schlechte Grafik auf der PS4 oder die zahlreichen Bugs egal. Die toll inszenierte Dystopie macht uns nachdenklich und wird über Jahre unerreicht bleiben. Achtung, Spoiler!
Ein IMHO von Tobias Költzsch und Sebastian Grüner

  1. CES 2021 So geht eine Messe in Pandemie-Zeiten
  2. USA Die falsche Toleranz im Silicon Valley muss endlich aufhören
  3. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona

Notebook-Displays: Tschüss 16:9, hallo 16:10!
Notebook-Displays
Tschüss 16:9, hallo 16:10!

Endlich schwenken die Laptop-Hersteller auf Displays mit mehr Pixeln in der Vertikalen um. Das war überfällig - ist aber noch nicht genug.
Ein IMHO von Marc Sauter

  1. Microsoft LTE-Laptops für Schüler kosten 200 US-Dollar
  2. Galaxy Book Flex2 5G Samsungs Notebook unterstützt S-Pen und 5G
  3. Expertbook B9 (B9400) Ultrabook von Asus nutzt Tiger Lake und Thunderbolt 4

Whatsapp: Überfällige Datenschutzabstimmung mit den Füßen
Whatsapp
Überfällige Datenschutzabstimmung mit den Füßen

Es gibt zwar keinen wirklichen Anlass, um plötzlich von Whatsapp zu Signal oder Threema zu wechseln. Doch der Denkzettel für Facebook ist wichtig.
Ein IMHO von Friedhelm Greis

  1. Facebook Whatsapp verschiebt Einführung der neuen Datenschutzregeln
  2. Facebook Whatsapp stellt Nutzern ein Ultimatum
  3. Watchchat Whatsapp mit der Apple Watch bedienen

    •  /