ProHoster > Blog > nutizie internet > Vulnerabilità periculose in QEMU, Node.js, Grafana è Android

Vulnerabilità periculose in QEMU, Node.js, Grafana è Android

Diversi vulnerabili recentemente identificati:

  • Vulnerabilità (CVE-2020-13765) in QEMU, chì puderia riesce u codice per esse eseguitu cù i privilegi di prucessu QEMU da u latu di l'ospite quandu una maghjina di kernel persunalizata hè caricata in l'ospite. U prublema hè causatu da un buffer overflow in u còdice di copia ROM durante l'iniziu di u sistema è si trova quandu u cuntenutu di una maghjina di kernel 32-bit hè caricata in memoria. A correzione hè attualmente dispunibule solu in a forma patch.
  • Quattru vulnerabili in Node.js. Vulnerabilità eliminatu in versioni 14.4.0, 10.21.0 è 12.18.0.
    • CVE-2020-8172 - Permette a verificazione di u certificatu di l'ospite per esse ignorata quandu si riutilice una sessione TLS.
    • CVE-2020-8174 - Potenzialmente permette l'esecuzione di codice in u sistema per via di un overflow di buffer in e funzioni napi_get_value_string_*() chì si trova durante certe chjama à N-API (C API per scrive add-ons nativi).
    • CVE-2020-10531 hè un overflow interu in ICU (Componenti Internaziunali per Unicode) per C/C++ chì pò purtà à un overflow di buffer quandu si usa a funzione UnicodeString::doAppend().
    • CVE-2020-11080 - permette a negazione di serviziu (100% di carica di CPU) via a trasmissione di grandi frames "SETTINGS" quandu si cunnetta via HTTP/2.
  • Vulnerabilità in a piattaforma di visualizazione di metrica interattiva Grafana, utilizata per custruisce grafici di monitoraghju visuale basatu nantu à diverse fonti di dati. Un errore in u codice per travaglià cù l'avatars permette di inizià l'inviu di una dumanda HTTP da Grafana à qualsiasi URL senza passà l'autentificazione è vede u risultatu di sta dumanda. Sta funzione pò esse usata, per esempiu, per studià a reta interna di cumpagnie chì utilizanu Grafana. Prublemu eliminatu in prublemi
    Grafana 6.7.4 è 7.0.2. Cum'è una soluzione di sicurezza, hè cunsigliatu di restringe l'accessu à l'URL "/avatar/*" in u servitore chì esegue Grafana.

  • publicatu Inseme di ghjugnu di correzioni di sicurezza per Android, chì risolve 34 vulnerabilità. Quattru prublemi sò stati attribuiti à un livellu di gravità critica: duie vulnerabilità (CVE-2019-14073, CVE-2019-14080) in cumpunenti proprietarii Qualcomm) è duie vulnerabilità in u sistema chì permettenu l'esekzione di codice quandu si tratta di dati esterni apposta (CVE-2020). -0117 - integer overflow in a pila Bluetooth, CVE-2020-8597 - EAP overflow in pppd).

Source: opennet.ru

Add a comment