ProHoster > Блог > интернет новини > Опасни уязвимости в QEMU, Node.js, Grafana и Android

Опасни уязвимости в QEMU, Node.js, Grafana и Android

Няколко наскоро идентифицирани уязвимости:

  • Уязвимост (CVE-2020 13765-) в QEMU, което потенциално може да доведе до изпълнение на код с привилегии на QEMU процес от страната на хоста, когато персонализирано изображение на ядрото се зарежда в госта. Проблемът е причинен от препълване на буфера в кода за копиране на ROM по време на зареждане на системата и възниква, когато съдържанието на 32-битово изображение на ядрото се зареди в паметта. Корекцията в момента е налична само във формуляра пластир.
  • Четири уязвимости в Node.js. Уязвимости елиминиран във версии 14.4.0, 10.21.0 и 12.18.0.
    • CVE-2020-8172 - Позволява проверката на сертификата на хоста да бъде заобиколена при повторно използване на TLS сесия.
    • CVE-2020-8174 - Потенциално позволява изпълнение на код в системата поради препълване на буфера във функциите napi_get_value_string_*(), което възниква по време на определени извиквания на N-API (C API за писане на собствени добавки).
    • CVE-2020-10531 е целочислено препълване в ICU (Международни компоненти за Unicode) за C/C++, което може да доведе до препълване на буфер при използване на функцията UnicodeString::doAppend().
    • CVE-2020-11080 - позволява отказ на услуга (100% натоварване на процесора) чрез предаване на големи рамки "НАСТРОЙКИ" при свързване чрез HTTP/2.
  • Уязвимост в платформата за визуализация на интерактивни показатели Grafana, използвана за изграждане на визуални графики за наблюдение, базирани на различни източници на данни. Грешка в кода за работа с аватари ви позволява да инициирате изпращане на HTTP заявка от Grafana към произволен URL адрес без преминаване на удостоверяване и да видите резултата от тази заявка. Тази функция може да се използва например за проучване на вътрешната мрежа от компании, използващи Grafana. проблем елиминиран в проблемите
    Grafana 6.7.4 и 7.0.2. Като заобиколно решение за сигурност се препоръчва да ограничите достъпа до URL „/avatar/*“ на сървъра, работещ с Grafana.

  • публикувани Юнски набор от корекции на сигурността за Android, който коригира 34 уязвимости. На четири проблема е присвоено критично ниво на сериозност: две уязвимости (CVE-2019-14073, CVE-2019-14080) в частни компоненти на Qualcomm) и две уязвимости в системата, които позволяват изпълнение на код при обработка на специално проектирани външни данни (CVE-2020 -0117 - цяло число препълване в Bluetooth стека, CVE-2020-8597 - EAP препълване в pppd).

Източник: opennet.ru

Добавяне на нов коментар