全部产品
云市场

【漏洞公告】CVE-2018-5711:PHP GD库拒绝服务漏洞

更新时间:2019-03-01 17:03:16

2018年01月22日,某安全研究人员发现PHP环境存在拒绝服务漏洞。通过精心构造的GIF图片PoC可以触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务。目前PoC已公开。由于使用PHP语言开发的网站使用GD库实现图片上传功能,建议用户关注该漏洞。

漏洞详情见下文。


漏洞编号

CVE-2018-5711

漏洞名称

PHP GD库拒绝服务漏洞

官方评级

高危

漏洞描述

利用精心构造的GIF图片PoC上传并耗尽服务器资源,从而导致PHP进程挂起崩溃,服务中断,对业务带来一定安全风险。

漏洞利用条件和方式

通过PoC直接远程利用。

PoC状态

已公开

漏洞影响范围

  • PHP 5 < 5.6.33
  • PHP 7.0 < 7.0.27
  • PHP 7.1 < 7.1.13
  • PHP 7.2 < 7.2.1

漏洞检测

开发人员检查是否使用了受影响版本范围内的PHP版本。

漏洞修复建议(或缓解措施)

目前,PHP官方发布的最新版已经修复该漏洞,开发或运维人员可以手动下载更新。

注意:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。

情报来源

[1]. http://blog.orange.tw/2018/01/php-cve-2018-5711-hanging-websites-by.html
[2]. http://php.net/