| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in GD Graphics Library ausgemacht. Sie wurde als problematisch eingestuft. Davon betroffen ist die Funktion gdPngReadData. Die Bearbeitung verursacht Denial of Service.
Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2007-2756 gehandelt. Es ist soweit kein Exploit verfügbar.
Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
In GD Graphics Library - eine genaue Versionsangabe ist nicht möglich - (Image Processing Software) wurde eine problematische Schwachstelle gefunden. Hierbei betrifft es die Funktion gdPngReadData. Durch die Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-404. Dies wirkt sich aus auf die Verfügbarkeit. CVE fasst zusammen:
The gdPngReadData function in libgd 2.0.34 allows user-assisted attackers to cause a denial of service (CPU consumption) via a crafted PNG image with truncated data, which causes an infinite loop in the png_read_info function in libpng.Die Schwachstelle wurde am 22.05.2007 durch Xavier Roche (Website) an die Öffentlichkeit getragen. Auf trustix.org kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 18.05.2007 mit CVE-2007-2756 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde am 17.10.2007 ein Plugin mit der ID 27230 (openSUSE 10 Security Update : gd (gd-3747)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 350098 (Amazon Linux Security Advisory for libwmf: ALAS-2015-604) zur Prüfung der Schwachstelle an.
Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah 2 Monate nach der Veröffentlichung der Schwachstelle. Die Entwickler haben folglich noch im Rahmen reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (27230), SecurityFocus (BID 24089†), OSVDB (35788†), Secunia (SA25378†) und SecurityTracker (ID 1018187†) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-2887, VDB-3154, VDB-3153 und VDB-37545. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.8
VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 27230
Nessus Name: openSUSE 10 Security Update : gd (gd-3747)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 110189
OpenVAS Name: PHP version smaller than 5.2.3
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
Exposure Time: 🔍
Timeline
18.05.2007 🔍18.05.2007 🔍
22.05.2007 🔍
22.05.2007 🔍
22.05.2007 🔍
22.05.2007 🔍
04.06.2007 🔍
21.06.2007 🔍
17.10.2007 🔍
08.05.2016 🔍
10.08.2022 🔍
Quellen
Advisory: RHSA-2007:0889Person: Xavier Roche
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2007-2756 (🔍)
GCVE (CVE): GCVE-0-2007-2756
GCVE (VulDB): GCVE-100-85594
OVAL: 🔍
X-Force: 34420
SecurityFocus: 24089 - GD Graphics Library PNG File Processing Denial of Service Vulnerability
Secunia: 25378 - PHP "gdPngReadData()" Truncated PNG Data Denial of Service, Less Critical
OSVDB: 35788 - GD Graphics Library (libgd) gdPngReadData() Function Truncated PNG Handling DoS
SecurityTracker: 1018187
Vupen: ADV-2007-1905
Siehe auch: 🔍
Eintrag
Erstellt: 08.05.2016 21:56Aktualisierung: 10.08.2022 17:43
Anpassungen: 08.05.2016 21:56 (64), 08.01.2019 11:06 (18), 10.08.2022 17:35 (4), 10.08.2022 17:43 (1)
Komplett: 🔍
Cache ID: 216:095:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.