ProHoster > Blog > internet nuus > Gevaarlike kwesbaarhede in QEMU, Node.js, Grafana en Android

Gevaarlike kwesbaarhede in QEMU, Node.js, Grafana en Android

Verskeie onlangs geïdentifiseerde kwesbaarhede:

  • Kwesbaarheid (CVE-2020-13765) in QEMU, wat moontlik kan veroorsaak dat kode uitgevoer word met QEMU-prosesvoorregte aan die gasheerkant wanneer 'n pasgemaakte kernbeeld in die gas gelaai word. Die probleem word veroorsaak deur 'n bufferoorloop in die ROM-kopiekode tydens stelsellaai en vind plaas wanneer die inhoud van 'n 32-bis-kernbeeld in die geheue gelaai word. Die oplossing is tans slegs in die vorm beskikbaar pleister.
  • Vier kwesbaarhede in Node.js. Kwesbaarhede uitgeskakel in vrystellings 14.4.0, 10.21.0 en 12.18.0.
    • CVE-2020-8172 - Laat toe dat gasheersertifikaatverifikasie omseil word wanneer 'n TLS-sessie hergebruik word.
    • CVE-2020-8174 - Laat potensieel kode-uitvoering op die stelsel toe as gevolg van 'n buffer-oorloop in die napi_get_value_string_*() funksies wat plaasvind tydens sekere oproepe na N-API (C API vir die skryf van inheemse byvoegings).
    • CVE-2020-10531 is 'n heelgetal-oorloop in ICU (International Components for Unicode) vir C/C++ wat kan lei tot 'n buffer-oorloop wanneer die UnicodeString::doAppend()-funksie gebruik word.
    • CVE-2020-11080 - laat ontkenning van diens toe (100% SVE-lading) via die oordrag van groot "SETTINGS"-rame wanneer dit via HTTP/2 verbind word.
  • Kwesbaarheid in die Grafana interaktiewe metrieke visualisering platform, wat gebruik word om visuele moniteringsgrafieke te bou gebaseer op verskeie databronne. 'n Fout in die kode om met avatars te werk laat jou toe om 'n HTTP-versoek van Grafana na enige URL te stuur sonder om verifikasie te slaag en die resultaat van hierdie versoek te sien. Hierdie kenmerk kan byvoorbeeld gebruik word om die interne netwerk van maatskappye wat Grafana gebruik, te bestudeer. Probleem uitgeskakel in kwessies
    Grafana 6.7.4 en 7.0.2. As 'n veiligheidsoplossing, word dit aanbeveel om toegang tot die URL "/avatar/*" op die bediener wat Grafana gebruik, te beperk.

  • gepubliseer Junie stel sekuriteitsoplossings vir Android, wat 34 kwesbaarhede regstel. Vier kwessies is 'n kritieke ernsvlak toegeken: twee kwesbaarhede (CVE-2019-14073, CVE-2019-14080) in eie Qualcomm-komponente) en twee kwesbaarhede in die stelsel wat die uitvoering van kode moontlik maak wanneer spesiaal ontwerpte eksterne data verwerk word (CVE-2020 -0117 - heelgetal oorloop in die Bluetooth-stapel, CVE-2020-8597 - EAP-oorloop in pppd).

Bron: opennet.ru

Voeg 'n opmerking