Breaking News

Facebook phát hành bản vá lỗ hổng bảo mật nghiêm trọng bên trong các máy chủ HHVM

Facebook mới đây đã vá 2 lỗ hổng bảo mật rất nghiêm trọng nằm trong hệ thống máy chủ của mình. 2 lỗ hổng này có thể cho phép những kẻ tấn công từ xa đánh cắp các thông tin nhạy cảm hoặc lợi dụng hệ thống để tiến hành các cuộc tấn công từ chối dịch vụ (DDoS) bằng cách tải lên các tệp hình ảnh JPEG đính kèm mã độc.

Facebook phát hành bản vá lỗ hổng bảo mật nghiêm trọng bên trong các máy chủ HHVM - CyberSec365.org
Facebook phát hành bản vá lỗ hổng bảo mật nghiêm trọng bên trong các máy chủ HHVM - CyberSec365.org
Cụ thể, cả 2 lỗ hổng bảo mật này nằm trong HHVM (HipHop Virtual Machine) - một máy ảo mã nguồn mở có hiệu suất hoạt động cao được phát triển bởi chính Facebook để thực thi các chương trình được viết bằng ngôn ngữ lập trình PHP và Hack (Hack là một ngôn ngữ lập trình cho máy ảo HipHop, được tạo ra bởi Facebook. Đây là một ngôn ngữ lập trình nguồn mở, được cấp phép dưới dạng Giấy phép BSD. Có thể nói Hack là một phiên bản mới của PHP mà còn có thể chạy trên HHVM, nhưng nó cho phép người lập trình có thể sử dụng cả nhập liệu kiểu tĩnh và kiểu động).


Do ứng dụng máy chủ HHVM bị ảnh hưởng là nguồn mở và miễn phí, cả hai vấn đề cũng có thể ảnh hưởng đến các trang web khác sử dụng HHVM, bao gồm Wikipedia, Box và đặc biệt là những trang web cho phép người dùng của họ tải lên hình ảnh trên máy chủ.
Cả hai lỗ hổng này (có mã hiệu CVE-2019-11925 và CVE-2019-11926) đều có thể gây tràn bộ nhớ trong phần mở rộng GD của HHVM khi tin tặc tải lên các tệp JPEG không hợp lệ được xây dựng đặc biệt. Trong đó,
  • CVE-2019-11925 xảy ra khi việc xử lý Block APP12 của tệp JPEG trong tiện ích mở rộng GD, cho phép tin tặc vượt qua giới hạn truy cập vào bộ nhớ hệ thống.
  • CVE-2019-11926: diễn ra khi tiện ích mở rộng GD không xử lý đầy đủ các chuỗi M_SOFx từ header của tệp JPEG, có thể cho phép tin tặc vượt qua giới hạn bộ nhớ được phép truy cập.
Cả hai lỗ hổng đều ảnh hưởng đến tất cả các phiên bản HHVM được hỗ trợ trước 3.30.9, tất cả các phiên bản giữa HHVM 4.0.0 và 4.8.3, tất cả các phiên bản giữa HHVM 4.9.0 và 4.15.2 và HHVM phiên bản 4.16.0 đến 4.16.3, 4.17 .0 đến 4.17.2, 4.18.0 đến 4.18.1, 4.19.0, 4.20.0 đến 4.20.1.

Nhóm HHVM đã giải quyết các lỗ hổng bằng việc phát hành các phiên bản HHVM 4.21.0, 4.20.2, 4.19.1, 4.18.2, 4.17.3, 4.16.4, 4.15.3, 4.8.4 và 3.30.10.
Nếu trang web hoặc máy chủ của bạn cũng đang sử dụng HHVM, bạn rất nên cập nhật nó lên phiên bản mới nhất của phần mềm.

Không có nhận xét nào