ProHoster > Bloc > notícies d'internet > Vulnerabilitats perilloses a QEMU, Node.js, Grafana i Android

Vulnerabilitats perilloses a QEMU, Node.js, Grafana i Android

Diverses vulnerabilitats identificades recentment:

  • Vulnerabilitat (CVE-2020-13765) a QEMU, que podria provocar que el codi s'executi amb privilegis de procés QEMU al costat de l'amfitrió quan es carregui una imatge del nucli personalitzada al convidat. El problema és causat per un desbordament de memòria intermèdia al codi de còpia de la ROM durant l'arrencada del sistema i es produeix quan el contingut d'una imatge del nucli de 32 bits es carrega a la memòria. Actualment, la correcció només està disponible al formulari pegat.
  • Quatre vulnerabilitats a Node.js. Vulnerabilitats eliminat a les versions 14.4.0, 10.21.0 i 12.18.0.
    • CVE-2020-8172: permet ometre la verificació del certificat de l'amfitrió quan es reutilitza una sessió TLS.
    • CVE-2020-8174 - Potencialment permet l'execució de codi al sistema a causa d'un desbordament de memòria intermèdia a les funcions napi_get_value_string_*() que es produeix durant determinades trucades a N-API (API C per escriure complements natius).
    • CVE-2020-10531 és un desbordament d'enters a ICU (Components internacionals per a Unicode) per a C/C++ que pot provocar un desbordament de memòria intermèdia quan s'utilitza la funció UnicodeString::doAppend().
    • CVE-2020-11080: permet la denegació de servei (càrrega del 100% de la CPU) mitjançant la transmissió de grans trames "CONFIGURACIÓ" quan es connecta mitjançant HTTP/2.
  • Vulnerabilitat a la plataforma de visualització de mètriques interactives Grafana, que s'utilitza per crear gràfics de seguiment visual basats en diverses fonts de dades. Un error al codi per treballar amb avatars us permet iniciar l'enviament d'una sol·licitud HTTP des de Grafana a qualsevol URL sense passar l'autenticació i veure el resultat d'aquesta sol·licitud. Aquesta característica es pot utilitzar, per exemple, per estudiar la xarxa interna d'empreses que utilitzen Grafana. Problema eliminat en temes
    Grafana 6.7.4 i 7.0.2. Com a solució de seguretat, es recomana restringir l'accés a l'URL "/avatar/*" al servidor que executa Grafana.

  • publicat Conjunt de juny de solucions de seguretat per a Android, que soluciona 34 vulnerabilitats. S'ha assignat un nivell de gravetat crític a quatre problemes: dues vulnerabilitats (CVE-2019-14073, CVE-2019-14080) en components propietaris de Qualcomm) i dues vulnerabilitats del sistema que permeten l'execució de codi quan es processen dades externes especialment dissenyades (CVE-2020). -0117 - nombre sencer desbordament a la pila Bluetooth, CVE-2020-8597: desbordament d'EAP en pppd).

Font: opennet.ru

Afegeix comentari