الرئيسية / أخبار تقنية / فيسبوك تغلق الثغرات المكتشفة في خوادمها التي تستخدم HHVM مفتوحة المصدر

فيسبوك تغلق الثغرات المكتشفة في خوادمها التي تستخدم HHVM مفتوحة المصدر

قام فيسبوك بتصحيح اثنين من الثغرات الشديدة في تطبيق الخادم الخاص به والذي كان يمكن أن يسمح للمهاجمين عن بعد بالحصول على معلومات حساسة بشكل غير مصرح به أو التسبب في رفض الخدمة فقط عن طريق تحميل ملف صورة JPEG تم إنشاؤه بشكل ضار.

تكمن نقاط الضعف في HHVM (آلة HipHop الافتراضية) وهي آلة افتراضية عالية الأداء ومفتوحة المصدر تم تطويرها بواسطة Facebook لتنفيذ البرامج المكتوبة بلغات برمجة PHP و Hack.

يستخدم HHVM نهج تجميع في الوقت المناسب (JIT) لتحقيق الأداء المتفوق لرمز Hack و PHP مع الحفاظ على مرونة التطوير التي توفرها لغة PHP.

 نظرًا لأن تطبيق خادم HHVM المتأثر مفتوح المصدر ومجاني فقد تؤثر كلتا المشكلتين على مواقع الويب الأخرى التي تستخدم HHVM بما في ذلك Wikipedia و Box وخاصة تلك التي تسمح لمستخدميها بتحميل الصور على الخادم.

تتواجد كل من الثغرات الأمنية كما هو موضح أدناه نظرًا لاحتمال تجاوز سعة الذاكرة في امتداد GD الخاص بـ HHVM عند تمرير إدخال JPEG غير صالح تم إنشاؤه خصيصًا مما يؤدي إلى قراءة خارج الحدود وهو عيب يسمح لبرنامج مشوه بقراءة  البيانات من خارج حدود الذاكرة المخصصة.

 CVE-2019-11925: تحدث مشكلات فحص الحدود غير الكافية عند معالجة علامة كتلة JPEG APP12 في امتداد GD مما يسمح للمهاجمين المحتملين بالوصول إلى ذاكرة خارج الحدود عبر إدخال JPEG غير صالح تم إنشاؤه بشكل ضار.

 CVE-2019-11926: تحدث مشكلات فحص الحدود غير كافية عند معالجة علامات M_SOFx من رؤوس JPEG في امتداد GD مما يسمح للمهاجمين المحتملين بالوصول إلى ذاكرة خارج الحدود عبر إدخال JPEG غير صالح تم إنشاؤه بشكل ضار.

 تؤثر كل من الثغرات الأمنية على جميع إصدارات HHVM المدعومة قبل 3.30.9 وجميع الإصدارات بين HHVM 4.0.0 و 4.8.3 وجميع الإصدارات بين HHVM 4.9.0 و 4.15.2 و HHVM الإصدارات 4.16.0 إلى 4.16.3 ، 4.17  .0 إلى 4.17.2 ، 4.18.0 إلى 4.18.1 ، 4.19.0 ، 4.20.0 إلى 4.20.1.

عالج فريق HHVM نقاط الضعف من خلال إصدار إصدارات HHVM 4.21.0 و 4.20.2 و 4.19.1 و 4.18.2 و 4.17.3 و 4.16.4 و 4.15.3 و 4.8.4 و 3.30.10.

أخيرًا إذا كان موقع الويب الخاص بك أو الخادم يستخدم HHVM أيضًا فمن المستحسن بشدة تحديثه إلى أحدث إصدار من البرنامج.

عن فدوى

شاهد أيضاً

لوحة المفاتيح Gboard ستدعم ميزة اقتراح الملصقات و الصور المتحركة GIF عند إضافة الرموز التعبيرية

‫من المذهل كيف أصبحت لوحة المفاتيح Gboard المليئة بالمميزات على مر السنين من خلال الملصقات …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *