
Facebook ha reparado dos vulnerabilidades de alta gravedad en su aplicación de servidor que podrían haber permitido a atacantes remotos obtener información confidencial sin autorización o causar una denegación de servicio simplemente cargando un archivo de imagen JPEG creado con fines malintencionados.
Las vulnerabilidades residen en H HVM (HipHop Virtual Machine): una máquina virtual de código abierto de alto rendimiento desarrollada por Facebook para ejecutar programas escritos en lenguajes de programación PHP y Hack.
HHVM utiliza un enfoque de compilación justo a tiempo (JIT) para lograr un rendimiento superior de su código Hack y PHP mientras mantiene la flexibilidad de desarrollo que proporciona el lenguaje PHP.
Dado que la aplicación del servidor HHVM afectada es de código abierto y gratuita, ambos problemas también pueden afectar a otros sitios web que usan HHVM, incluidos Wikipedia, Box y especialmente aquellos que permiten a sus usuarios cargar imágenes en el servidor.
Ambas vulnerabilidades, que se enumeran a continuación, residen debido a un posible desbordamiento de memoria en la extensión GD de HHVM cuando se pasa una entrada JPEG no válida especialmente construida, lo que lleva a una lectura fuera de los límites, una falla que permite que un programa con formato incorrecto lea datos desde fuera de los límites de la memoria asignada.
- CVE-2019-11925Nota: se producen problemas de comprobación de límites insuficientes al procesar el marcador de bloque JPEG APP12 en la extensión GD, lo que permite a los posibles atacantes acceder a la memoria fuera de los límites a través de una entrada JPEG no válida creada con fines malintencionados.
- CVE-2019-11926Nota: se producen problemas de comprobación de límites insuficientes al procesar marcadores M_SOFx de encabezados JPEG en la extensión GD, lo que permite a los posibles atacantes acceder a la memoria fuera de los límites a través de una entrada JPEG no válida creada con fines malintencionados.
Ambas vulnerabilidades afectan a todas las versiones compatibles de HHVM anteriores a la 3.30.9, todas las versiones entre HHVM 4.0.0 y 4.8.3, todas las versiones entre HHVM 4.9.0 y 4.15.2 y las versiones de HHVM 4.16.0 a 4.16.3, 4.17 .0 a 4.17.2, 4.18.0 a 4.18.1, 4.19.0, 4.20.0 a 4.20.1.
El equipo de HHVM ha abordado las vulnerabilidades con el lanzamiento de las versiones 4.21.0, 4.20.2, 4.19.1, 4.18.2, 4.17.3, 4.16.4, 4.15.3, 4.8.4 y 3.30.10 de HHVM.
Si su sitio web o servidor también utiliza HHVM, le recomendamos que lo actualice a la última versión del software.