āĻŦā§āĻļ āĻāĻŋāĻā§ āĻ¸āĻŽā§āĻĒā§āĻ°āĻ¤āĻŋ āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž:
-
āĻā§āĻˇāĻ¤āĻŋāĻā§āĻ°āĻ¸ā§āĻĨāĻ¤āĻž (āĻāĻ¨ā§āĻ¯ CVE-2020-13765 ) QEMU-āĻ¤ā§, āĻ¯āĻž āĻ āĻ¤āĻŋāĻĨāĻŋāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻāĻāĻāĻŋ āĻāĻžāĻ¸ā§āĻāĻŽ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ āĻāĻŽā§āĻ āĻ˛ā§āĻĄ āĻāĻ°āĻž āĻšāĻ˛ā§ āĻšā§āĻ¸ā§āĻ āĻ¸āĻžāĻāĻĄā§ QEMU āĻĒā§āĻ°āĻ¸ā§āĻ¸ āĻ¸ā§āĻŦāĻŋāĻ§āĻžāĻ° āĻ¸āĻžāĻĨā§ āĻā§āĻĄ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻž āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻŦā§āĻ āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ ROM āĻāĻĒāĻŋ āĻā§āĻĄā§ āĻāĻāĻāĻŋ āĻŦāĻžāĻĢāĻžāĻ° āĻāĻāĻžāĻ°āĻĢā§āĻ˛ā§ āĻšāĻāĻ¯āĻŧāĻžāĻ° āĻāĻžāĻ°āĻŖā§ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻāĻŋ āĻāĻā§ āĻāĻŦāĻ āĻāĻāĻŋ āĻāĻā§ āĻ¯āĻāĻ¨ āĻāĻāĻāĻŋ 32-āĻŦāĻŋāĻ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ āĻāĻŽā§āĻā§āĻ° āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻŽā§āĻŽāĻ°āĻŋāĻ¤ā§ āĻ˛ā§āĻĄ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤ āĻĢāĻŋāĻā§āĻ¸ āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ā§ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻĢāĻ°ā§āĻŽ āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻ¯āĻžāĻ¯āĻŧāĻĒā§āĻ¯āĻžāĻ . -
āĻāĻžāĻ°āĻāĻŋ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž Node.js-āĻāĨ¤ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻžāĻ¨āĻŋāĻ°ā§āĻŽā§āĻ˛ 14.4.0, 10.21.0 āĻāĻŦāĻ 12.18.0 āĻ°āĻŋāĻ˛āĻŋāĻā§āĨ¤- CVE-2020-8172 - āĻāĻāĻāĻŋ TLS āĻ¸ā§āĻļāĻ¨ āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻšā§āĻ¸ā§āĻ āĻļāĻāĻ¸āĻžāĻĒāĻ¤ā§āĻ° āĻ¯āĻžāĻāĻžāĻāĻāĻ°āĻŖāĻā§ āĻŦāĻžāĻāĻĒāĻžāĻ¸ āĻāĻ°āĻžāĻ° āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧāĨ¤
- CVE-2020-8174 - napi_get_value_string_*() āĻĢāĻžāĻāĻļāĻ¨ā§ āĻāĻāĻāĻŋ āĻŦāĻžāĻĢāĻžāĻ° āĻāĻāĻžāĻ°āĻĢā§āĻ˛ā§ āĻšāĻāĻ¯āĻŧāĻžāĻ° āĻāĻžāĻ°āĻŖā§ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻā§āĻĄ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻžāĻ° āĻ¸āĻŽā§āĻāĻžāĻŦā§āĻ¯ āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧ āĻ¯āĻž āĻāĻŋāĻā§ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻ˛ā§āĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻāĻā§
āĻāĻ¨-āĻāĻĒāĻŋāĻāĻ (āĻ¨ā§āĻāĻŋāĻ āĻ ā§āĻ¯āĻžāĻĄ-āĻ āĻ¨ āĻ˛ā§āĻāĻžāĻ° āĻāĻ¨ā§āĻ¯ C API)āĨ¤ - CVE-2020-10531 āĻšāĻ˛ C/C++ āĻāĻ° āĻāĻ¨ā§āĻ¯ ICU (āĻāĻāĻ¨āĻŋāĻā§āĻĄā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻ¨ā§āĻ¤āĻ°ā§āĻāĻžāĻ¤āĻŋāĻ āĻāĻĒāĻžāĻĻāĻžāĻ¨) āĻāĻāĻāĻŋ āĻĒā§āĻ°ā§āĻŖāĻ¸āĻāĻā§āĻ¯āĻž āĻāĻāĻžāĻ°āĻĢā§āĻ˛ā§ āĻ¯āĻž UnicodeString::doAppend() āĻĢāĻžāĻāĻļāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻāĻāĻāĻŋ āĻŦāĻžāĻĢāĻžāĻ° āĻāĻāĻžāĻ°āĻĢā§āĻ˛ā§ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
- CVE-2020-11080 - HTTP/100 āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ¸āĻāĻ¯ā§āĻ āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻŦāĻĄāĻŧ "āĻ¸ā§āĻāĻŋāĻāĻ¸" āĻĢā§āĻ°ā§āĻŽā§āĻ° āĻ¸āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻ āĻ¸ā§āĻŦā§āĻāĻžāĻ° (2% CPU āĻ˛ā§āĻĄ) āĻāĻ°āĻžāĻ° āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧā§ˇ
-
āĻā§āĻˇāĻ¤āĻŋāĻā§āĻ°āĻ¸ā§āĻĨāĻ¤āĻž Grafana āĻāĻ¨ā§āĻāĻžāĻ°ā§āĻā§āĻāĻŋāĻ āĻŽā§āĻā§āĻ°āĻŋāĻā§āĻ¸ āĻāĻŋāĻā§āĻ¯ā§āĻ¯āĻŧāĻžāĻ˛āĻžāĻāĻā§āĻļāĻ¨ āĻĒā§āĻ˛ā§āĻ¯āĻžāĻāĻĢāĻ°ā§āĻŽā§, āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻĄā§āĻāĻž āĻā§āĻ¸ā§āĻ° āĻāĻĒāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋ āĻāĻ°ā§ āĻāĻŋāĻā§āĻ¯ā§āĻ¯āĻŧāĻžāĻ˛ āĻŽāĻ¨āĻŋāĻāĻ°āĻŋāĻ āĻā§āĻ°āĻžāĻĢ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧāĨ¤ āĻ āĻŦāĻ¤āĻžāĻ°āĻā§āĻ˛āĻŋāĻ° āĻ¸āĻžāĻĨā§ āĻāĻžāĻ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻā§āĻĄā§ āĻāĻāĻāĻŋ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻāĻĒāĻ¨āĻžāĻā§ āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻāĻ°āĻŖ āĻĒāĻžāĻ¸ āĻ¨āĻž āĻāĻ°ā§āĻ Grafana āĻĨā§āĻā§ āĻ¯ā§āĻā§āĻ¨ā§ URL-āĻ āĻāĻāĻāĻŋ HTTP āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻĒāĻžāĻ āĻžāĻ¨ā§ āĻļā§āĻ°ā§ āĻāĻ°āĻ¤ā§ āĻāĻŦāĻ āĻāĻ āĻ āĻ¨ā§āĻ°ā§āĻ§ā§āĻ° āĻĢāĻ˛āĻžāĻĢāĻ˛ āĻĻā§āĻāĻ¤ā§ āĻĻā§āĻ¯āĻŧā§ˇ āĻāĻ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯āĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, Grafana āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻā§āĻŽā§āĻĒāĻžāĻ¨āĻŋāĻā§āĻ˛āĻŋāĻ° āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻ āĻ§ā§āĻ¯āĻ¯āĻŧāĻ¨ āĻāĻ°āĻ¤ā§āĨ¤ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻ¨āĻŋāĻ°ā§āĻŽā§āĻ˛ āĻāĻ¸ā§āĻ¯ā§āĻ¤ā§
Grafana 6.7.4 āĻāĻŦāĻ 7.0.2āĨ¤ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻšāĻŋāĻ¸āĻžāĻŦā§, Grafana āĻāĻžāĻ˛āĻŋāĻ¤ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§ URL "/avatar/*" āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¸ā§āĻŽāĻžāĻŦāĻĻā§āĻ§ āĻāĻ°āĻžāĻ° āĻ¸ā§āĻĒāĻžāĻ°āĻŋāĻļ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤ -
āĻĒā§āĻ°āĻāĻžāĻļāĻŋāĻ¤ āĻ ā§āĻ¯āĻžāĻ¨ā§āĻĄā§āĻ°āĻ¯āĻŧā§āĻĄā§āĻ° āĻāĻ¨ā§āĻ¯ āĻā§āĻ¨ āĻŽāĻžāĻ¸ā§āĻ° āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻ¸āĻāĻļā§āĻ§āĻ¨ā§āĻ° āĻ¸ā§āĻ, āĻ¯āĻž 34āĻāĻŋ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻ āĻŋāĻ āĻāĻ°ā§āĨ¤ āĻāĻžāĻ°āĻāĻŋ āĻāĻ¸ā§āĻ¯ā§āĻā§ āĻāĻāĻāĻŋ āĻā§āĻ°ā§āĻ¤āĻ° āĻ¤ā§āĻŦā§āĻ°āĻ¤āĻž āĻ¸ā§āĻ¤āĻ° āĻ¨āĻŋāĻ°ā§āĻ§āĻžāĻ°āĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§: āĻĻā§āĻāĻŋ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž (CVE-2019-14073, CVE-2019-14080) āĻŽāĻžāĻ˛āĻŋāĻāĻžāĻ¨āĻž āĻā§āĻ¯āĻŧāĻžāĻ˛āĻāĻŽ āĻāĻĒāĻžāĻĻāĻžāĻ¨āĻā§āĻ˛āĻŋāĻ¤ā§) āĻāĻŦāĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§āĻ° āĻĻā§āĻāĻŋ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻ¯āĻž āĻŦāĻŋāĻļā§āĻˇāĻāĻžāĻŦā§ āĻĄāĻŋāĻāĻžāĻāĻ¨ āĻāĻ°āĻž V āĻŦāĻžāĻšā§āĻ¯āĻŋāĻ āĻĄā§āĻāĻž āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻā§āĻĄ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻžāĻ° āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧ (E-2020 -0117 - āĻĒā§āĻ°ā§āĻŖāĻ¸āĻāĻā§āĻ¯āĻžāĻāĻĒāĻā§ āĻĒāĻĄāĻŧāĻž āĻŦā§āĻ˛ā§āĻā§āĻĨ āĻ¸ā§āĻā§āĻ¯āĻžāĻā§āĻ° āĻŽāĻ§ā§āĻ¯ā§,CVE-2020-8597 - pppd-āĻ EAP āĻāĻāĻžāĻ°āĻĢā§āĻ˛ā§ ).
āĻāĻ¤ā§āĻ¸: opennet.ru