PHP libgd存在实现多个函数整数溢出漏洞

发布日期：2007-08-31

更新日期：2007-09-03

受影响系统：

PHP PHP < 5.2.4

不受影响系统：

PHP PHP 5.2.4

描述：

--------------------------------------------------------------------------------

CVE(CAN) ID: CVE-2007-3996

PHP是广泛使用的通用目的脚本语言，特别适合于Web开发，可嵌入到HTML中。

PHP的libgd实现中gdImageCreate()和gdImageCreateTrueColor()函数存在整数溢出漏洞，远程攻击者可能利用此漏洞控制服务器。

这两个函数可由ImageCreate()和ImageCreateTrueColor()直接调用。

...

im->tpixels = (int **) gdMalloc(sizeof(int *) * sy);
im->AA_opacity = (unsigned char **) gdMalloc(sizeof(unsigned char *) * sy);

...

for (i = 0; i < sy; i++) {
    im->tpixels[i] = (int *) gdCalloc(sx, sizeof(int));
    im->AA_opacity[i] = (unsigned char *) gdCalloc(sx, sizeof(unsigned char));
}

...

使用很大的sy/height或sx/width值就可以在为im->tpixels和im->AA_opacity分配内存时触发整数溢出，导致崩溃或执行任意代码。由于可从PHP代码的多个位置调用gdImageCreate()和gdImageCreateTrueColor()，如使用任意imagecreatefrom* -函数，因此可以通过向Web应用上传图形来远程触发溢出。

PHP的libgd实现中gdImageCopyResized()函数也存在整数溢出漏洞，该函数可由imagecopyresized()或imagecopyresampled()调用。

...

stx = (int *) gdMalloc (sizeof (int) * srcW);
sty = (int *) gdMalloc (sizeof (int) * srcH);

...

for (i = 0; (i < srcW); i++) {
    stx[i] = dstW * (i+1) / srcW - dstW * i / srcW ;
}
for (i = 0; (i < srcH); i++) {
    sty[i] = dstH * (i+1) / srcH - dstH * i / srcH ;
}

...

向srcW或srcH传送很大的值就会在分配stx和sty的缓冲区时触发整数溢出，分配操作后的for循环会试图写入大量数据，导致崩溃或执行任意代码。如果Web应用程序使用这个函数调整远程上传图形的大小，则上传特制图形文件就可以触发这个溢出。

<*来源：Mattias Bengtsson （mattias@secweb.se）

Philip Olausson （po@secweb.se）

链接：http://www.php.net/releases/5_2_4.php

http://secweb.se/en/advisories/php-imagecopyresized-integer-overflow/

http://secunia.com/advisories/21546/print/

http://secweb.se/en/advisories/php-imagecreatetruecolor-integer-overflow/

*>

建议：

--------------------------------------------------------------------------------

厂商补丁：

PHP

---

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.php.net/releases/5_2_4.php