Среда, 20 января, 21:05
дома безопасность Facebook исправляет серьезные ошибки на сервере HHVM

Facebook исправляет серьезные ошибки на сервере HHVM

HHVM

Две критические уязвимости в его серверном приложении, которые могут позволить удаленным злоумышленникам получить несанкционированную информацию или вызвать отказ в обслуживании после загрузки вредоносного файла образа. JPEGбыли обнаружены и отремонтированы Facebook.

Οι уязвимости были обнаружены в HHVM (Virtual HipHop Machine) - высокопроизводительной виртуальной машине с открытым исходным кодом разработанный Facebook для выполнения программ, написанных на языках программирования PHP и Hack.

Поскольку уязвимое серверное приложение HHVM имеет открытый исходный код и является бесплатным, обе проблемы могут затронуть другие сайты, использующие HHVM, включая ВикипедияКоробка и особенно те, которые позволяют своим пользователям загружать изображения на сервер.

Обе уязвимости связаны с возможным «переполнением памяти» в расширении HHVM GD, когда злоумышленник вставляет пользовательское изображение JPEG, которое позволяет вредоносной программе считывать данные за ее пределами. памяти.

CVE-2019-11925: При редактировании маркера блока JPEG APP12 в расширении GD недостаточно проблем с порогом злоумышленники получить доступ к автономной памяти путем злонамеренного создания неверного ввода JPEG.

CVE-2019-11926: При обработке маркеров M_SOFx из заголовков JPEG в расширении GD возникают проблемы с недостаточным пороговым контролем, что позволяет потенциальным злоумышленникам получить доступ к нехватке памяти путем злонамеренной генерации неверного ввода JPEG.

Обе уязвимости затрагивают все поддерживаемые версии HHVM до 3.30.9, все версии между 4.0.0 и 4.8.3, все версии между 4.9.0 и 4.15.2 и 4.16.0 - 4.16.3, 4.17 .0 - 4.17.2, 4.18.0, 4.18.1 в 4.19.0.

Команда HHVM обнаружила уязвимости в выпуске версий HHVM 4.21.0, 4.20.2, 4.19.1, 4.18.2, 4.17.3, 4.16.4, 4.15.3, 4.8.4 и 3.30.10.

Если ваш сайт или сервер также использует HHVM, рекомендуется немедленно обновить его до последней версии программного обеспечения.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Отсутствующая Миа
Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением

ЖИВЫЕ НОВОСТИ

00: 02: 09

Дональд Трамп: Спасибо Лилу Уэйну, а не Джулиану Ассанжу!

Уходящий президент США Дональд Трамп наградит сегодня рэпером Лилом Уэйном последнюю волну помилования, которая ...
00: 02: 28

НАСА: использует ИИ для поиска новых кратеров на Марсе

https://www.youtube.com/watch?v=e8qCSD3fA50 Τα τελευταία 15 χρόνια, το Mars Reconnaissance Orbiter της NASA περιφέρεται γύρω από τον Άρη μελετώντας...

Windows 10: как просмотреть недавно установленные обновления

Microsoft часто обновляет Windows 10, но не всегда ясно, когда устанавливается каждое обновление. К счастью, есть два простых способа ...

Lorex запускает звонок с камерой 2K, которая распознает лица

Lorex запускает новое устройство для умных домов - звонок под названием «2K QHD Wired Video Doorbell with Person ...

Осведомленности о безопасности недостаточно для борьбы с угрозами

За последние годы в борьбе с киберугрозами произошли существенные изменения. Человеческий фактор теперь серьезно относится к безопасности. Например,...

MeWe: набрал 2,5 миллиона пользователей за неделю!

Социальная сеть MeWe значительно увеличила количество пользователей после скандала с WhatsApp.

Поддельные приложения для совместной работы «заражают» сотрудников и воруют данные!

С началом пандемии COVID-19 большой процент организаций подвергся атакам вредоносных программ на удаленные устройства, когда сотрудники работают ...

LG рассматривает возможность ухода из сектора смартфонов в 2021 году

Потеряв около 4,5 миллиардов долларов за последние пять лет, компания-производитель смартфонов LG изо всех сил пыталась конкурировать со своими конкурентами. Он...

Стив Джобс: Статуя Трампа в Национальном саду американских героев!

Американское правительство решило установить в Национальном парке памятник в честь соучредителя и бывшего генерального директора Apple Стива Джобса ...

Терминология 1.9: новый эмулятор терминала Linux с большим количеством цветов

Борис Фор анонсировал новую версию Terminology 1.9 эмулятора терминала для операционных систем Linux. Для тех, кто не ...