发布日期：2014-12-31
更新日期：2015-01-05

受影响系统：

Facebook HipHop Virtual Machine < 2.4.2

描述：

---

CVE(CAN) ID: CVE-2014-2208

Facebook HipHop Virtual Machine (HHVM)是基于即时编译的过程虚拟机，用作PHP及Hack编程语言的执行引擎。

Facebook HipHop Virtual Machine (HHVM) 2.4.2之前版本存在CRLF注入漏洞，可执行任意命令。该漏洞位于hphp/util/light-process.cpp的LightProcess协议实现中，远程攻击者在字符串结尾输入换行字符，利用此漏洞可执行任意命令。

<*来源：htbridge
  *>

建议：

---

厂商补丁：

Facebook
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/facebook/hhvm/commit/506a44194a9016406c752ad8e010c01aeffc18cc

浏览次数：2088
严重程度：0（网友投票）