JPEG图像也可导致数据泄露?Facebook修复HHVM服务器漏洞

发表于:2019-9-11 09:43  作者:佚名   来源:看雪学院

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 漏洞 Facebook

  社交网络巨头Facebook,是人们分享生活、联系交流的重要平台。
  作为最大的照片分享站点,Facebook每天上传的照片高达上亿张。
  然而这些上传的JPEG图像文件也有可能成为攻击者的利器。
  Facebook的HHVM出现漏洞
  早前,Facebook服务器中发现了两个高危漏洞,恶意攻击者会利用这些漏洞远程上传JPEG图像文件,以此来获取用户的敏感信息或者直接导致拒绝服务。
  这些漏洞存在于HHVM (HipHop Virtual Machine)中。
  HHVM是Facebook开发的高性能开源虚拟机,用于执行用PHP和Hack编程语言编写的程序。HHVM使用一种即时(JIT)编译器在实现Hack和PHP代码的卓越性能的同时保持PHP语言提供的开发灵活性。
  由于受影响的HHVM服务器应用程序是开源且免费的,因此这两个问题也可能影响使用HHVM的其他网站,包括Wikipedia,Box,尤其是那些允许其用户在服务器上上传图片的网站。
  下面列出的这两个漏洞,当传入一个特定的无效JPEG输入时,HHVM的GD扩展中可能存在内存溢出,从而导致越界读取,这也就使得恶意程序能够读取来自分配内存范围之外的数据。
  CVE-2019-11925:在GD扩展中处理JPEG APP12标记时,会出现边界检查不足的问题,导致潜在的攻击者通过恶意制作无效JPEG输入越界访问内存。
  CVE-2019-11926:在GD扩展中处理来自JPEG头文件的M_SOFx标记时,会出现边界检查不足的问题,导致潜在的攻击者通过恶意制作无效JPEG输入越界访问内存。
  影响版本及解决
  这两个漏洞影响的HHVM版本较多,包括如下版本:
  3.30.9之前的所有HHVM版本
  4.0.0和4.8.3之间的所有版本
  4.9.0和4.15.2之间的所有版本
  4.16.0到4.16.3版本
  4.17 .0到4.17.2版本
  4.18.0到4.18.1版本
  4.19.0版本
  4.20.0到4.20.1版本
  目前,Facebook已经修复了这两个漏洞,HHVM团队发布了HHVM版本4.21.0、4.20.2、4.19.1、4.18.2、4.17.3、4.16.4、4.15.3、4.8.4和3.30.10。
  如果您的网站或服务器也使用HHVM,强烈建议您将其更新到软件的最新版本。

     上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理

【大佬说】测试员跳槽时,如何高效地准备面试?

评 论

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2019, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道