Morann

Facebook исправила две опасные уязвимости в серверах HHVM ( 1 фото )


Facebook исправила две опасные уязвимости в серверах HHVM Интернет и компьютеры,facebook,hhvm,уязвимость

Эксплуатация позволяет удаленно получать конфиденциальную информацию или вызывать отказ в обслуживании сервера.

Компания Facebook исправила две опасные уязвимости в серверном приложении HHVM. Их эксплуатация позволяет злоумышленникам удаленно получать конфиденциальную информацию или вызывать отказ в обслуживании системы путем загрузки вредоносного файла в формате JPEG.

HHVM (HipHop Virtual Machine) — высокопроизводительная виртуальная машина с открытым исходным кодом, разработанная Facebook для выполнения программ, написанных на языках PHP и Hack. HHVM использует подход компиляции «на лету» (just-in-time) для достижения превосходной производительности кода Hack и PHP при сохранении гибкости разработки, которую обеспечивает язык PHP.

Поскольку серверное приложение HHVM является открытым, обе уязвимости затрагивают все web-сайты, использующие его, включая Wikipedia, Box и особенно те, которые позволяют пользователям загружать изображения на сервер.

Уязвимости ( CVE-2019-11925 и CVE-2019-11926 ) связаны с возможным переполнения памяти в расширении GD при передаче специально сформированного недействительного JPEG-файла. При обработке маркеров блока JPEG APP12 и маркеров M_SOFx из заголовков JPEG в расширении GD возникают проблемы с проверкой границ, что позволяет злоумышленнику получить доступ к памяти за границами поля (out-of-bound).

Обе уязвимости затрагивают версии HHVM до 3.30.9, с 4.0.0 по 4.8.3, с 4.9.0 по 4.15.2, с 4.16.0 по 4.16.3, с 4.17.0 по 4.17.2, с 4.18.0 по 4.18.1, 4.19.0 и с 4.20.0 по 4.20.1. Разработчики HHVM исправили уязвимости, выпустив версии 4.21.0, 4.20.2, 4.19.1, 4.18.2, 4.17.3, 4.16.4, 4.15.3, 4.8.4 и 3.30.10.

Материал взят: Тут

+1727
  • 0
  • 675
Обнаружили ошибку?
Выделите проблемный фрагмент мышкой и нажмите CTRL+ENTER.
В появившемся окне опишите проблему и отправьте уведомление Администрации.
Нужна органическая вечная ссылка из данной статьи? Постовой?
Подробности здесь

Добавить комментарий

  • Внимание!!! Комментарий должен быть не короче 40 и не длиннее 3000 символов.
    Осталось ввести знаков.
    • angelangryapplausebazarbeatbeerbeer2blindbokaliboyanbravo
      burumburumbyecallcarchihcrazycrycup_fullcvetokdadadance
      deathdevildraznilkadrinkdrunkdruzhbaedaelkafingalfoofootball
      fuckgirlkisshammerhearthelphughuhhypnosiskillkissletsrock
      lollooklovemmmmmoneymoroznevizhuniniomgparikphone
      podarokpodmigpodzatylnikpokapomadapopapreyprivetprostitequestionrofl
      roseshedevrshocksilaskuchnosleepysmehsmilesmokesmutilisnegurka
      spasibostenastopsuicidetitstorttostuhmylkaumnikunsmileura
      vkaskewakeupwhosthatyazykzlozomboboxah1n1aaaeeeareyoukiddingmecerealguycerealguy2
      challengederpderpcryderpgopderphappyderphappycryderplolderpneutralderprichderpsadderpstare
      derpthumbderpwhydisappointfapforeveraloneforeveralonehappyfuckthatbitchgaspiliedjackielikeaboss
      megustamegustamuchomercurywinnotbadnumbohgodokaypokerfaceragemegaragetextstare
      sweetjesusfacethefuckthefuckgirltrolltrolldadtrollgirltruestoryyuno