セキュリティを修正した「HHVM 4.9」リリース

 米FacebookのHHVM開発チームは6月10日、Hack言語実行環境の最新版「HHVM 4.9.0」を公開した。セキュリティ関連のアップデートが中心となる。

 HHVM(HipHop Virtual Machine)はPHPやPHPを改良したプログラミング言語「Hack」で実装されたコードを高速に実行するために開発されたJITコンパイラベースの仮想マシン。

 HHVM 4.9は6月はじめに公開されたLTS(長期サポート)版である4.8に続く最新版。CVE-2019-3569とCVE-2019-3570の2件の脆弱性が修正された。前者はFastCGIインターフェイス、後者はscrypt_enc()におけるヒープメモリの破損につながる脆弱性。

 スナップショット拡張のXenonでSIGPROFを使うようになり、CLI(コマンドラインインターフェイス)モードで利用できるようになった。

 PHPについては段階的にサポート終了に向けてプロセスを進めてきたが、本バージョンではPHPのサポートを有効化にすることが不可能になった。また、MySQLi拡張が削除され、this型がデフォルトでランタイムで強制となり、無効な値でのコンテナのアクセスがエラーとして通知されるようになった。

 開発チームは同様にセキュリティ修正版となる3.30.6、4.3.1、4.4.1、4.5.1、4.6.1、4.7.1、4.8.1も公開している。なおバージョン4.3系は4.9のリリースによりサポート終了となる。

HHVM
https://hhvm.com/