Huschi
Moderator
securityfocus.com hat einen schwerer Fehler in der gdLibrary 2.0.33 gefunden:
Ein Fehler im LZW-Decomprimierer (z.B. für das GIF-Format) kann eine manipulierte Datei den Webserver in eine Endlosschleife schicken und damit unerreichbar werden.
Da in den meisten Foren individuelle Avatare hochgeladen werden können, ist dies eine einfache Möglichkeiten den Server zu blockieren oder vollständig lahmzulegen.
Der Fehler wurde in der aktuellen Version 2.0.33 der Grafikbibliothek entdeckt. Nur über den direkten Eingriff in den Quellcode der Bibliothek auf dem Webserver, kann der Fehler behoben werden.
Einen Patch oder eine Stellungnahme von der Firma Boutell.Com, Inc. gibt es noch nicht.
(Die Quelle gebe ich nicht an, da dort ein konkretes Beispiel zu finden ist.)
huschi.
Ein Fehler im LZW-Decomprimierer (z.B. für das GIF-Format) kann eine manipulierte Datei den Webserver in eine Endlosschleife schicken und damit unerreichbar werden.
Da in den meisten Foren individuelle Avatare hochgeladen werden können, ist dies eine einfache Möglichkeiten den Server zu blockieren oder vollständig lahmzulegen.
Der Fehler wurde in der aktuellen Version 2.0.33 der Grafikbibliothek entdeckt. Nur über den direkten Eingriff in den Quellcode der Bibliothek auf dem Webserver, kann der Fehler behoben werden.
Einen Patch oder eine Stellungnahme von der Firma Boutell.Com, Inc. gibt es noch nicht.
(Die Quelle gebe ich nicht an, da dort ein konkretes Beispiel zu finden ist.)
huschi.
Last edited by a moderator: