ProHoster > Blog > internet xəbərləri > QEMU, Node.js, Grafana və Android-də təhlükəli boşluqlar

QEMU, Node.js, Grafana və Android-də təhlükəli boşluqlar

Bu yaxınlarda müəyyən edilmiş bir neçə zəiflik:

  • Zəiflik (CVE-2020-13765) QEMU-da, bu, potensial olaraq qonağa xüsusi kernel şəkli yükləndikdə host tərəfində QEMU proses imtiyazları ilə kodun icrasına səbəb ola bilər. Problem sistemin yüklənməsi zamanı ROM nüsxə kodunda buferin daşması nəticəsində yaranır və 32 bitlik nüvə təsvirinin məzmunu yaddaşa yükləndikdə baş verir. Düzəliş hazırda yalnız formada mövcuddur yamaq.
  • Dörd zəiflik Node.js-də. Zəifliklər aradan qaldırıldı 14.4.0, 10.21.0 və 12.18.0 buraxılışlarında.
    • CVE-2020-8172 - TLS sessiyasından təkrar istifadə edərkən host sertifikatının yoxlanılmasından yan keçməyə imkan verir.
    • CVE-2020-8174 - Müəyyən zənglər zamanı baş verən napi_get_value_string_*() funksiyalarında bufer daşması səbəbindən sistemdə kodun icrasına potensial imkan verir. N-API (Doğma əlavələri yazmaq üçün C API).
    • CVE-2020-10531, C/C++ üçün ICU-da (Unicode üçün Beynəlxalq Komponentlər) tam ədəd daşmasıdır və UnicodeString::doAppend() funksiyasından istifadə edərkən bufer daşmasına səbəb ola bilər.
    • CVE-2020-11080 - HTTP/100 vasitəsilə qoşulduqda böyük "SETTINGS" çərçivələrinin ötürülməsi yolu ilə xidmətdən imtina etməyə (2% CPU yükü) imkan verir.
  • Zəiflik müxtəlif məlumat mənbələri əsasında vizual monitorinq qrafiklərini qurmaq üçün istifadə edilən Grafana interaktiv ölçülərin vizuallaşdırılması platformasında. Avatarlarla işləmək üçün koddakı səhv, autentifikasiyadan keçmədən Grafana-dan istənilən URL-yə HTTP sorğusu göndərməyə başlamağa və bu sorğunun nəticəsini görməyə imkan verir. Bu funksiyadan, məsələn, Grafana istifadə edən şirkətlərin daxili şəbəkəsini öyrənmək üçün istifadə edilə bilər. Problem aradan qaldırıldı məsələlərdə
    Grafana 6.7.4 və 7.0.2. Təhlükəsizlik həlli olaraq, Grafana ilə işləyən serverdə “/avatar/*” URL-ə girişi məhdudlaşdırmaq tövsiyə olunur.

  • nəşr edilmişdir 34 zəifliyi aradan qaldıran Android üçün İyun təhlükəsizlik düzəlişləri toplusu. Dörd məsələyə kritik ciddilik səviyyəsi təyin edilib: iki boşluq (CVE-2019-14073, CVE-2019-14080) xüsusi Qualcomm komponentlərində və sistemdə xüsusi hazırlanmış xarici məlumatların (CVE-2020) işlənməsində kodun icrasına imkan verən iki boşluq. -0117 - tam ədəd daşqın Bluetooth yığınında, CVE-2020-8597 - pppd-də EAP daşması).

Mənbə: opennet.ru

Добавить комментарий