Facebook Patch "Pengungkapan Memori Menggunakan Gambar JPEG" Kekurangan di Server HHVM - Otak Kita

Facebook Patch "Pengungkapan Memori Menggunakan Gambar JPEG" Kekurangan di Server HHVM


Otak Kita - Facebook telah menambal dua kerentanan tingkat keparahan tinggi dalam aplikasi servernya yang bisa memungkinkan penyerang jarak jauh untuk mendapatkan informasi sensitif tanpa izin atau menyebabkan penolakan layanan hanya dengan mengunggah file gambar JPEG yang dibuat secara jahat.

Kerentanan berada di HHVM (HipHop Virtual Machine) - mesin virtual open source berkinerja tinggi yang dikembangkan oleh Facebook untuk menjalankan program yang ditulis dalam bahasa pemrograman PHP dan Hack.

HHVM menggunakan pendekatan kompilasi just-in-time (JIT) untuk mencapai performa superior dari kode Hack dan PHP Anda sambil mempertahankan fleksibilitas pengembangan yang disediakan oleh bahasa PHP.

Karena aplikasi server HHVM yang terkena dampak adalah open-source dan gratis, kedua masalah ini juga dapat berdampak pada situs web lain yang menggunakan HHVM, termasuk Wikipedia, Box dan terutama yang memungkinkan pengguna untuk mengunggah gambar di server.

Kedua kerentanan, seperti yang tercantum di bawah ini, berada karena kemungkinan memori meluap dalam ekstensi GD HHVM ketika input JPEG tidak valid yang dibangun secara khusus dilewatkan, menyebabkan pembacaan di luar batas — cacat yang memungkinkan program yang cacat untuk membaca data dari luar batas memori yang dialokasikan.


  •     CVE-2019-11925 : Masalah pemeriksaan batas tidak mencukupi terjadi ketika memproses penanda blok JPEG APP12 dalam ekstensi GD, yang memungkinkan penyerang potensial untuk mengakses memori di luar batas melalui input JPEG tidak sah yang dibuat dengan cara jahat.
  •     CVE-2019-11926 : Masalah pemeriksaan batas yang tidak memadai terjadi ketika memproses penanda M_SOFx dari header JPEG dalam ekstensi GD, memungkinkan penyerang potensial untuk mengakses memori di luar batas melalui input JPEG yang tidak sah yang dibuat dengan cara jahat. 



Kedua kerentanan mempengaruhi semua versi HHVM yang didukung sebelum 3.30.9, semua versi antara HHVM 4.0.0 dan 4.8.3, semua versi antara HHVM 4.9.0 dan 4.15.2, dan versi HHVM 4.16.0 hingga 4.16.3, 4.17 .0 hingga 4.17.2, 4.18.0 hingga 4.18.1, 4.19.0, 4.20.0 hingga 4.20.1.

Tim HHVM telah membahas kerentanan dengan merilis versi HHVM 4.21.0, 4.20.2, 4.19.1, 4.18.2, 4.17.3, 4.16.4, 4.15.3, 4.8.4, dan 3.30.10.

Jika situs web atau server Anda juga menggunakan HHVM, Anda sangat disarankan untuk memperbaruinya ke versi perangkat lunak terbaru.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel