返回

Facebook修补了HHVM服务器中“使用JPEG图像泄露内存”的缺陷

发布时间:2022-12-11 23:30:25 457
# php# 服务器# 软件# 黑客# 缺陷
facebook HHVM php vulnerability


这些安全漏洞存在于HHVM(HipHop虚拟机);Facebook开发的高性能开源虚拟机,用于执行用PHP和Hack编程语言编写的程序。

HHVM使用实时(JIT)编译方法来实现黑客和PHP代码的优异性能,同时保持PHP语言提供的开发灵活性。

由于受影响的HHVM服务器应用程序是开源和免费的,这两个问题也可能会影响使用HHVM的其他网站,包括Wikipedia、Box,尤其是那些允许用户在服务器上上传图像的网站。
 
这两个漏洞(如下所列)都存在于HHVM的GD扩展中,原因是当传入特殊构造的无效JPEG输入时,HHVM的GD扩展中可能存在内存溢出,导致越界读取—;允许格式错误的程序从分配的内存范围之外读取数据的缺陷。
  • CVE-2019-11925:处理GD扩展中的JPEG APP12块标记时出现边界检查不足问题,使潜在攻击者能够通过恶意创建的无效JPEG输入访问越界内存。
  • CVE-2019-11926:在GD扩展中处理来自JPEG头的M_SOFx标记时,会出现边界检查不足的问题,从而允许潜在攻击者通过恶意创建的无效JPEG输入访问越界内存。

这两个漏洞都会影响3.30.9之前的所有受支持的HHVM版本、HHVM 4.0.0和4.8.3之间的所有版本、HHVM 4.9.0和4.15.2之间的所有版本,以及HHVM版本4.16.0到4.16.3、4.17.0到4.17.2、4.18.0到4.18.1、4.19.0、4.20.0到4.20.1。

HHVM团队通过发布HHVM版本4.21.0、4.20.2、4.19.1、4.18.2、4.17.3、4.16.4、4.15.3、4.8.4和3.30.10解决了这些漏洞。

如果您的网站或服务器也在使用HHVM,强烈建议您将其更新至该软件的最新版本。

 

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线