Facebook Detta har korrigerat två sårbarheter på hög nivå i sin serverapplikation som kan göra det möjligt för fjärrangripare att få olaglig information olagligt eller orsaka förnekande av tjänst genom att bara ladda upp JPEG-bildfiler som skapades på skadliga sätt.
Sårbarheter i H HVM (HipHop Virtual Machine): En högpresterande open source virtuell maskin utvecklad av Facebook som kör program skrivna på PHP-programmeringsspråket och Hack.
HHVM använder en tidssammanställning (JIT) för att uppnå överlägsen prestanda från din Hack- och PHP-kod samtidigt som den bibehåller utvecklingsflexibiliteten som tillhandahålls av PHP-språket.
Eftersom den drabbade HHVM-serverapplikationen är öppen källkod och gratis, kan båda dessa problem också påverka andra webbplatser som använder HHVM, inklusive Wikipedia, Box, och särskilt de som tillåter användare att ladda upp bilder till servern.
Båda sårbarheterna, som anges nedan, beror på möjligheten att minnet flyter över till GD HHVM-förlängningen när specifikt skapade ogiltiga JPEG-poster skickas vidare, vilket orsakar avläsningar, fel som gör att programmet kan felläsa data utanför den tilldelade minnesgränsen .
- CVE-2019-11.925: Bearbetning av JPEG APP12-blockmarkörer i GD-förlängningen orsakar ett otillräckligt gränskontrollproblem, vilket möjliggör för potentiella angripare att få åtkomst utanför gränsen via jpeg-poster som skapas olagligt och skadligt.
- CVE-2019-11.926: Felaktiga gränskontrollproblem uppstår vid bearbetning av M_SOFx-markörer från JPEG-rubriker i GD-förlängningen, vilket gör att potentiella angripare får åtkomst utanför gränsen via JPEG-poster som skapas olagligt och görs skadligt.
Båda sårbarheterna påverkar alla kompatibla versioner av HHVM före 3.30.9, alla versioner mellan HHVM 4.0.0 och 4.8.3, alla versioner mellan HHVM 4.9.0 och 4.15.2 och versioner av HHVM 4.16.0 till 4.16. .3, 4.17 .0 till 4.17.2, 4.18.0 till 4.18.1, 4.19.0, 4.20.0 till 4.20.1.
HHVM-teamet diskuterade sårbarheter när de släppte versioner av HHVM 4.21.0, 4.20.2, 4.19.1, 4.18.2, 4.17.3, 4.16.4, 4.15.3, 4.8.4 och 3.30.10.
Om din webbplats eller server också använder HHVM, rekommenderas starkt att du uppdaterar den till den senaste programvaruversionen.
