Thomas Boutell GD Graphics Library até 2.0.33 gdImageCreateFromGifPtr Negação de Serviço

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
6.7	$0-$5k	0.00

Sumárioinformação

Detectou-se uma vulnerabilidade classificada como problemático em Thomas Boutell GD Graphics Library até 2.0.33. O impacto ocorre em a função gdImageCreateFromGifPtr. O tratamento leva a Negação de Serviço. Esta vulnerabilidade é referenciada como CVE-2006-2906. O ataque pode ser levado a cabo através da rede. Adicionalmente, há um exploit disponível. Recomenda-se a substituição do componente afectado por uma alternativa.

Detalhesinformação

Detectou-se uma vulnerabilidade classificada como problemático em Thomas Boutell GD Graphics Library até 2.0.33. O impacto ocorre em a função gdImageCreateFromGifPtr. O tratamento leva a Negação de Serviço. Usar a CWE para declarar o problema leva à CWE-835. O problema foi divulgado 07/06/2006 por Xavier Roche como Posting (Bugtraq). O aviso pode ser baixado em archives.neohapsis.com.

Esta vulnerabilidade é referenciada como CVE-2006-2906. A designação do CVE foi realizada em 08/06/2006. O ataque pode ser levado a cabo através da rede. Informações técnicas estão acessíveis. Adicionalmente, há um exploit disponível. O exploit foi tornado público e pode ser usado. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O projeto MITRE ATT&CK identifica a técnica de ataque como T1499.

Está declarado como prova de conceito. O exploit pode ser baixado em exploit-db.com. Como 0-day, o valor estimado no submundo era aproximadamente $0-$5k. O Nessus, ferramenta de varredura de vulnerabilidades, disponibiliza um plugin com o identificador 22659. Está atribuído à família Debian Local Security Checks. O plugin está rodando no contexto do tipo l. Está dependendo da porta 0.

O bugfix está disponível para download em boutell.com. Recomenda-se a substituição do componente afectado por uma alternativa. Uma possível atenuação foi publicada 2 meses após a revelação da vulnerabilidade.

A vulnerabilidade também está documentada em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 18294), X-Force (26976), Secunia (SA21186), Vulnerability Center (SBV-12149) e Tenable (22659).

Produtoinformação

Tipo

• Image Processing Software

Fabricante

• Thomas Boutell

Nome

• GD Graphics Library

Versão

• 2.0.0
• 2.0.1
• 2.0.2
• 2.0.3
• 2.0.4
• 2.0.5
• 2.0.6
• 2.0.7
• 2.0.8
• 2.0.9
• 2.0.10
• 2.0.11
• 2.0.12
• 2.0.13
• 2.0.14
• 2.0.15
• 2.0.16
• 2.0.17
• 2.0.18
• 2.0.19
• 2.0.20
• 2.0.21
• 2.0.22
• 2.0.23
• 2.0.24
• 2.0.25
• 2.0.26
• 2.0.27
• 2.0.28
• 2.0.29
• 2.0.30
• 2.0.31
• 2.0.32
• 2.0.33

Licença

• código aberto

CPE 2.3informação

• 🔍
• 🔍
• 🔍

CPE 2.2informação

• 🔍
• 🔍
• 🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 7.5
VulDB Meta Pontuação Temporária: 6.7

VulDB Pontuação Base: 7.5
VulDB Pontuação Temporária: 6.7
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Negação de Serviço
CWE: CWE-835 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Descarregar: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 22659
Nessus Nome: Debian DSA-1117-1 : libgd2 - insufficient input sanitising
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 57149
OpenVAS Nome: Debian Security Advisory DSA 1117-1 (libgd2)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍

Exploit-DB: 🔍

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Alternativa
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍

Patch: boutell.com

Linha do tempoinformação

06/06/2006 🔍
07/06/2006 +1 dias 🔍
07/06/2006 +0 dias 🔍
08/06/2006 +0 dias 🔍
08/06/2006 +0 dias 🔍
08/06/2006 +0 dias 🔍
19/06/2006 +11 dias 🔍
03/07/2006 +14 dias 🔍
21/07/2006 +18 dias 🔍
25/07/2006 +4 dias 🔍
14/10/2006 +81 dias 🔍
18/01/2025 +6671 dias 🔍

Fontesinformação

Aconselhamento: archives.neohapsis.com
Pessoa: Xavier Roche
Estado: Confirmado
Confirmação: 🔍

CVE: CVE-2006-2906 (🔍)
GCVE (CVE): GCVE-0-2006-2906
GCVE (VulDB): GCVE-100-2301
X-Force: 26976 - GD Graphics Library gdImageCreateFromGifPtr() GIF file denial of service, Medium Risk
SecurityFocus: 18294 - GD Graphics Library Remote Denial of Service Vulnerability
Secunia: 21186 - Debian update for libgd2, Less Critical
OSVDB: 26260 - GD Graphics Library gdImageCreateFromGifPtr() Function GIF Processing DoS
Vulnerability Center: 12149 - GD Library (libgd) Denial of Service via Malformed GIF Data, Medium
Vupen: ADV-2006-2174

scip Labs: https://www.scip.ch/en/?labs.20161013
Veja também: 🔍

Entradainformação

Criado: 19/06/2006 11h17
Atualizado: 18/01/2025 18h32
Ajustamentos: 19/06/2006 11h17 (87), 08/06/2017 23h45 (11), 13/03/2021 08h12 (2), 18/01/2025 18h32 (22)
Completo: 🔍
Cache ID: 216:5F4:103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Discussão

Do you want to use VulDB in your project?

Use the official API to access entries easily!