Опасные уязвимости в QEMU, Node.js, Grafana и Android

Несколько недавно выявленных уязвимостей:

• Уязвимость (CVE-2020-13765) в QEMU, которая потенциально может привести к выполнению кода с правами процесса QEMU на стороне хост-системы при загрузке в гостевой системе специально оформленного образа ядра. Проблема вызвана переполнением буфера в коде копирования содержимого ПЗУ на этапе загрузки системы и проявляется при загрузке содержимого 32-разрядного образа ядра в память. Исправление пока доступно только в форме патча.
• Четыре уязвимости в Node.js. Уязвимости устранены в выпусках 14.4.0, 10.21.0 и 12.18.0.
  • CVE-2020-8172 — позволяет обойти проверку сертификата хоста при повторном использовании TLS-сеанса.
  • CVE-2020-8174 — потенциально позволяет добиться выполнения кода в системе из-за переполнения буфера в функциях napi_get_value_string_*(), возникающего при определённых обращениях к N-API (Си API для написания нативных дополнений).
  • CVE-2020-10531 — целочисленное переполнение в ICU (International Components for Unicode) для C/C++, которое может привести к переполнению буфера при использовании функции UnicodeString::doAppend().
  • CVE-2020-11080 — позволяет осуществить отказ в обслуживании (100% нагрузка на CPU) через передачу больших кадров «SETTINGS» при подключении по HTTP/2.
• Уязвимость в платформе интерактивной визуализации метрик Grafana, применяемой для построения графиков наглядного мониторинга на основе различных источников данных. Ошибка в коде работы с аватарами позволяет без прохождения аутентификации инициировать отправку HTTP-запроса со стороны Grafana на любой URL и посмотреть результат этого запроса. Указанная особенность может применяться, например, для изучения внутренней сети компаний, использующих Grafana. Проблема устранена в выпусках
  Grafana 6.7.4 и 7.0.2. В качестве обходного пути защиты рекомендуется ограничить доступ к URL «/avatar/*» на сервере с Grafana.

• Опубликован июньский набор исправлений проблем с безопасностью для Android, в котором устранены 34 уязвимости. Четырём проблемам присвоен критический уровень опасности: две уязвимости (CVE-2019-14073, CVE-2019-14080) в проприетарных компонентах Qualcomm) и две уязвимости в системе, позволяющие выполнить код при обработке специально оформленных внешних данных (CVE-2020-0117 — целочисленное переполнение в Bluetooth-стеке, CVE-2020-8597 — переполнение EAP в pppd).

Источник: opennet.ru