Advanced search  

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: GD Graphics Library GIF File Handling Denial of Service  (Read 2949 times)

0 Members and 1 Guest are viewing this topic.

mister_sam

  • Coppermine novice
  • *
  • Offline Offline
  • Gender: Male
  • Posts: 28
GD Graphics Library GIF File Handling Denial of Service
« on: June 07, 2006, 03:17:18 pm »
Pour info :
Alerte de sécurité Secunia sur GD :
Contenu de l'alerte :

TITLE:
GD Graphics Library GIF File Handling Denial of Service

SECUNIA ADVISORY ID:
SA20500

VERIFY ADVISORY:
http://secunia.com/advisories/20500/

CRITICAL:
Less critical

IMPACT:
DoS

WHERE:
From remote

SOFTWARE:
GD Graphics Library 2.x
http://secunia.com/product/4178/

DESCRIPTION:
Xavier Roche has discovered a vulnerability in the GD Graphics Library, which potentially can be exploited by malicious people to cause a DoS (Denial of Service) against applications and services using libgd.

The vulnerability is caused due to an infinite loop error within the handling of GIF images. This can be exploited to consume a large amount of CPU resources when the "gdImageCreateFromGifPtr()" function is used with a specially crafted GIF image.

The vulnerability has been confirmed in version 2.0.33. Other versions may also be affected.

SOLUTION:
Restrict use to GIF images from trusted sources only.

PROVIDED AND/OR DISCOVERED BY:
Xavier Roche
« Last Edit: June 07, 2006, 06:19:23 pm by PYAP »
Logged

Pascal YAP

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 13833
  • Hello World :-)
    • CPG 1.5.x ExperiMental website
Re: GD Graphics Library GIF File Handling Denial of Service
« Reply #1 on: June 07, 2006, 06:28:25 pm »
Mister_Sam,

Merci pour le retour d'infos !

Xavier Roche a découvert une vulnérabilité dans la bibliothèque de graphiques de GD, qui potentiellement peut être exploitée par les personnes malveillantes pour causer un DoS (Denial of Service) contre des applications et des services en utilisant la librairie graphique GD.
La vulnérabilité est causée en raison d'une erreur de boucle infinie dans la manipulation des images GIF.
Ceci peut être exploité pour consommer une grande quantité de ressources sur l'unité centrale de traitement (votre hébergeur) quand la fonction "gdImageCreateFromGifPtr ()" est employée avec une image GIF.
La vulnérabilité a été confirmée dans la version 2.0.33.
D'autres versions peuvent également être affectées.

SOLUTION :
  Limiter l'utilisation des images de GIF aux sources de confiance seulement.

Il faut noter qu'une faille similaire a été mentionnée au sujet du format graphique PNG, la fonction utilisée est alors "gdImageCreateFromPngCtx()"

Les galeries Coppermine qui n'offrent par de droits de téléchargement à d'autres Utilisateurs que l'Admin, sont à priori peu vulnérables.

PYAP
« Last Edit: June 07, 2006, 06:45:17 pm by PYAP »
Logged
Pages: [1]   Go Up
« previous next »
 

Page created in 0.014 seconds with 13 queries.