facebook

Facebook patch des failles de mémoire sur ses serveurs HHVM

Facebook a patché deux vulnérabilités dans son application de serveur qui permettait à des pirates distants d’obtenir des informations sensibles sans autorisation ou de causer un déni de service en téléversant un fichier JPEG malveillant.

Les vulnérabilités se trouvent dans HHVM (HipHop Virtual Machine)—une machine virtuelle open-source développé par Facebook pour exécuter des programmes écrits dans les langages de programmation PHP et Hack.

Le logiciel utilise la compilation à la volée pour atteindre de meilleurs performances avec les codes Hack et PHP tout en maintenant la flexibilité de développement du langage PHP.

facebook research

Pas seulement Facebook

L’application de serveur HHVM est libre et gratuite, ces deux failles peuvent affecter d’autres sites qui utilisent HHVM, y compris Wikipedia, Box et d’autres sites qui permettent à leurs utilisateurs de téléverser des images sur leur serveur.

Ces vulnérabilités sont causés par un débordement de mémoire de l’extension GD quand un fichier JPEG malveillant est envoyé sur le serveur. Cela entraîne une lecture hors-limite—une faille qui permet à un programme de lire des données à l’extérieur des limites de la mémoire allouée.

  • CVE-2019-11925: Des vérifications de limites insuffisantes se produisent lors du traitement du marqueur de bloc JPEG APP12 dans l’extension GD, permettant aux pirates d’accéder à la mémoire hors-limite via un fichier JPEG malveillant.
  • CVE-2019-11926: Des vérifications de limites insuffisantes se produisent lors du traitement des marqueurs M_SOFx dans les en-têtes JPEG de l’extension GD, permettant aux pirates d’accéder à la mémoire hors-limites via un fichier JPEG malveillant.

Ces deux vulnérabilités affectent toutes les versions antérieures à la version 3.30.9, toutes les versions entre 4.0.0 et 4.8.3, toutes les versions entre 4.9.0 et 4.15.2, et les versions de 4.16.0 à 4.16.3, 4.17.0 à 4.17.2, 4.18.0 à 4.18.1, 4.19.0, 4.20.0 à 4.20.1.

L’équipe de HHVM a adressé ces vulnérabilités avec la sortie des versions 4.21.0, 4.20.2, 4.19.1, 4.18.2, 4.17.3, 4.16.4, 4.15.3, 4.8.4, et 3.30.10.

Si votre site ou serveur utilise aussi HHVM, il est recommandé de mettre à jour votre logiciel.

Si cet article vous a plu, jetez un œil à notre précédent article concernant une faille de Facebook.

Poster un Commentaire

avatar
  S’abonner  
Notifier de