Facebook修补了HHVM服务器中“使用JPEG图像泄露内存”的缺陷

这些安全漏洞存在于HHVM（HipHop虚拟机）；Facebook开发的高性能开源虚拟机，用于执行用PHP和Hack编程语言编写的程序。

HHVM使用实时（JIT）编译方法来实现黑客和PHP代码的优异性能，同时保持PHP语言提供的开发灵活性。

由于受影响的HHVM服务器应用程序是开源和免费的，这两个问题也可能会影响使用HHVM的其他网站，包括Wikipedia、Box，尤其是那些允许用户在服务器上上传图像的网站。
这两个漏洞（如下所列）都存在于HHVM的GD扩展中，原因是当传入特殊构造的无效JPEG输入时，HHVM的GD扩展中可能存在内存溢出，导致越界读取—；允许格式错误的程序从分配的内存范围之外读取数据的缺陷。

• CVE-2019-11925：处理GD扩展中的JPEG APP12块标记时出现边界检查不足问题，使潜在攻击者能够通过恶意创建的无效JPEG输入访问越界内存。
• CVE-2019-11926：在GD扩展中处理来自JPEG头的M_SOFx标记时，会出现边界检查不足的问题，从而允许潜在攻击者通过恶意创建的无效JPEG输入访问越界内存。

这两个漏洞都会影响3.30.9之前的所有受支持的HHVM版本、HHVM 4.0.0和4.8.3之间的所有版本、HHVM 4.9.0和4.15.2之间的所有版本，以及HHVM版本4.16.0到4.16.3、4.17.0到4.17.2、4.18.0到4.18.1、4.19.0、4.20.0到4.20.1。

HHVM团队通过发布HHVM版本4.21.0、4.20.2、4.19.1、4.18.2、4.17.3、4.16.4、4.15.3、4.8.4和3.30.10解决了这些漏洞。

如果您的网站或服务器也在使用HHVM，强烈建议您将其更新至该软件的最新版本。