PHP libgd实现多个函数整数溢出漏洞

CVE(CAN) ID: CVE-2007-3996

PHP是广泛使用的通用目的脚本语言，特别适合于Web开发，可嵌入到HTML中。

PHP的libgd实现中gdImageCreate()和gdImageCreateTrueColor()函数存在整数溢出漏洞，远程攻击者可能利用此漏洞控制服务器。

这两个函数可由ImageCreate()和ImageCreateTrueColor()直接调用。

…

im->tpixels = (int **) gdMalloc(sizeof(int *) * sy);
im->AA_opacity = (unsigned char **) gdMalloc(sizeof(unsigned char *) * sy);

…

for (i = 0; i < sy; i++) {
im->tpixels[i] = (int *) gdCalloc(sx, sizeof(int));
im->AA_opacity[i] = (unsigned char *) gdCalloc(sx, sizeof(unsigned char));
}

…

使用很大的sy/height或sx/width值就可以在为im->tpixels和im->AA_opacity分配内存时触发整数溢出，导致崩溃或执行任意代码。由于可从PHP代码的多个位置调用gdImageCreate()和gdImageCreateTrueColor()，如使用任意imagecreatefrom* -函数，因此可以通过向Web应用上传图形来远程触发溢出。

PHP的libgd实现中gdImageCopyResized()函数也存在整数溢出漏洞，该函数可由imagecopyresized()或imagecopyresampled()调用。

…

stx = (int *) gdMalloc (sizeof (int) * srcW);
sty = (int *) gdMalloc (sizeof (int) * srcH);

…

for (i = 0; (i < srcW); i++) {
stx[i] = dstW * (i+1) / srcW - dstW * i / srcW ;
}
for (i = 0; (i < srcH); i++) {
sty[i] = dstH * (i+1) / srcH - dstH * i / srcH ;
}

…

向srcW或srcH传送很大的值就会在分配stx和sty的缓冲区时触发整数溢出，分配操作后的for循环会试图写入大量数据，导致崩溃或执行任意代码。如果Web应用程序使用这个函数调整远程上传图形的大小，则上传特制图形文件就可以触发这个溢出。

PHP < 5.2.4
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

<a href=“http://www.php.net/releases/5_2_4.php” target=“_blank”>http://www.php.net/releases/5_2_4.php</a>