Facebook виправила дві небезпечні вразливості в серверній програмі HHVM

Facebook виправила дві небезпечні вразливості в серверній програмі HHVM. Їхня експлуатація дозволяє зловмисникам віддалено отримувати конфіденційну інформацію або викликати відмову в обслуговуванні системи шляхом завантаження шкідливого файлу у форматі JPEG.

HHVM (HipHop Virtual Machine) — високопродуктивна віртуальна машина з відкритим вихідним кодом, розроблена Facebook для виконання програм, написаних мовами PHP та Hack. HHVM використовує підхід компіляції «на льоту» (just-in-time) для досягнення чудової продуктивності коду Hack та PHP за збереження гнучкості розробки, яку забезпечує мова PHP.

Оскільки серверний додаток HHVM є відкритим, обидві вразливості торкаються всіх веб-сайтів, що використовують його, включаючи Wikipedia, Box і особливо ті, які дозволяють користувачам завантажувати зображення на сервер.

Уразливості ( CVE-2019-11925 і CVE-2019-11926 ) пов'язані з можливим переповненням пам'яті в розширенні GD при передачі спеціально сформованого недійсного JPEG-файлу. При обробці маркерів блоку JPEG APP12 та маркерів M_SOFx із заголовків JPEG у розширенні GD виникають проблеми з перевіркою кордонів, що дозволяє зловмиснику отримати доступ до пам'яті за межами поля (out-of-bound).

Обидві вразливості зачіпають версії HHVM до 3.30.9, з 4.0.0 до 4.8.3, з 4.9.0 до 4.15.2, з 4.16.0 до 4.16.3, з 4.17.0 до 4.17.2, с 4.18.0 по 4.18.1, 4.19.0 та з 4.20.0 по 4.20.1. Розробники HHVM виправили вразливості, випустивши версії 4.21.0, 4.20.2, 4.19.1, 4.18.2, 4.17.3, 4.16.4, 4.15.3, 4.8.4 та 3.30.10.

Інші новини