Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

libgd < 2.2.1 Betroffene Plattformen: Red Hat Fedora 24 Durch Ausnutzen der Schwachstelle kann ein entfernter, nicht authentifizierter Angreifer einen Denial-of-Service (DoS)-Angriff durchführen. Für Fedora 24 steht ein Sicherheitsupdate für die GD Graphics Library (libgd) auf Version 2.2.1 zur Verfügung. Patch: Fedora Security Update FEDORA-2016-a82ad4c373 (Fedora 24, GD 2.2.1) https://bodhi.fedoraproject.org/updates/FEDORA-2016-a82ad4c373

CVE-2015-8877: Schwachstelle in libgd ermöglicht Denial-of-Service

Die Funktion gdImageScaleTwoPass() in gd_interpolation.c in der GD Graphics
Library (libgd) bevor 2.2.0, wie verwendet in PHP bevor 5.6.12, benutzt
inkonsistente Ansätze für die Speicherzuweisung und -freigabe. Ein Angreifer
kann mittels eines präparierten Aufrufs, wie für den Aufruf der PHP
Imagescale Funktion gezeigt wurde, einen vollständigen Verbrauch des
Speichers verursachen (Denial-of-Service).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0855/

PHP 5.6.12 Change Log:
https://secure.php.net/ChangeLog-5.php#5.6.12

PHP Sec Bug #70064:
https://bugs.php.net/bug.php?id=70064

Schwachstelle CVE-2015-8877 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8877

Fedora Security Update FEDORA-2016-a82ad4c373 (Fedora 24, GD 2.2.1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-a82ad4c373

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.