ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Delikado nga mga kahuyangan sa QEMU, Node.js, Grafana ug Android

Delikado nga mga kahuyangan sa QEMU, Node.js, Grafana ug Android

Pipila ka bag-o nga giila nga mga kahuyangan:

  • Kaluyahon (CVE-2020-13765) sa QEMU, nga posibleng magpahinabo nga ipatuman ang code uban ang mga pribilehiyo sa proseso sa QEMU sa host side kung ang custom kernel image ikarga sa bisita. Ang problema gipahinabo sa usa ka buffer overflow sa ROM copy code sa panahon sa pag-boot sa system ug mahitabo kung ang mga sulud sa usa ka 32-bit nga kernel nga imahe gikarga sa memorya. Ang pag-ayo sa pagkakaron anaa lamang sa porma patch.
  • Upat ka mga kahuyang sa Node.js. Mga kahuyangan giwagtang sa pagpagawas sa 14.4.0, 10.21.0 ug 12.18.0.
    • CVE-2020-8172 - Gitugotan ang pag-verify sa sertipiko sa host nga ma-bypass kung mogamit pag-usab sa sesyon sa TLS.
    • CVE-2020-8174 - Potensyal nga nagtugot sa pagpatuman sa code sa sistema tungod sa usa ka buffer overflow sa napi_get_value_string_*() nga mga function nga mahitabo sa panahon sa pipila ka mga tawag sa N-API (C API para sa pagsulat sa lumad nga mga add-on).
    • Ang CVE-2020-10531 usa ka integer overflow sa ICU (International Components for Unicode) para sa C/C++ nga mahimong mosangpot sa buffer overflow kung gamiton ang UnicodeString::doAppend() function.
    • CVE-2020-11080 - nagtugot sa pagdumili sa serbisyo (100% CPU load) pinaagi sa pagpasa sa dagkong "SETTINGS" nga mga frame kung magkonektar pinaagi sa HTTP/2.
  • Kaluyahon sa Grafana interactive metrics visualization platform, gigamit sa paghimo og visual monitoring graphs base sa lain-laing tinubdan sa datos. Ang usa ka sayup sa code alang sa pagtrabaho sa mga avatar nagtugot kanimo sa pagsugod sa pagpadala sa usa ka HTTP nga hangyo gikan sa Grafana ngadto sa bisan unsang URL nga dili moagi sa pag-authentication ug makita ang resulta niini nga hangyo. Kini nga bahin mahimong magamit, pananglitan, sa pagtuon sa internal nga network sa mga kompanya nga naggamit sa Grafana. Problema giwagtang sa mga isyu
    Grafana 6.7.4 ug 7.0.2. Ingon usa ka solusyon sa seguridad, girekomenda nga higpitan ang pag-access sa URL nga "/ avatar / *" sa server nga nagpadagan sa Grafana.

  • gipatik Hunyo nga hugpong sa mga pag-ayo sa seguridad alang sa Android, nga nag-ayo sa 34 nga mga kahuyangan. Upat ka mga isyu ang gi-assign sa usa ka kritikal nga lebel sa kagrabe: duha nga mga kahuyangan (CVE-2019-14073, CVE-2019-14080) sa proprietary nga mga sangkap sa Qualcomm) ug duha nga mga kahuyangan sa sistema nga nagtugot sa pagpatuman sa code sa pagproseso sa espesyal nga gidisenyo nga eksternal nga datos (CVE-2020). -0117 - integer pag-awas sa Bluetooth stack, CVE-2020-8597 - Pag-awas sa EAP sa pppd).

Source: opennet.ru

Idugang sa usa ka comment