ProHoster > Blog > internetové zprávy > Nebezpečná zranitelnost v QEMU, Node.js, Grafana a Android

Nebezpečná zranitelnost v QEMU, Node.js, Grafana a Android

Několik nedávno identifikovaných zranitelností:

  • Zranitelnost (CVE-2020-13765) v QEMU, což by mohlo potenciálně způsobit spuštění kódu s právy procesu QEMU na straně hostitele, když je do hosta načten vlastní obraz jádra. Problém je způsoben přetečením vyrovnávací paměti v kódu kopie ROM během spouštění systému a dochází k němu při načítání obsahu obrazu 32bitového jádra do paměti. Oprava je zatím dostupná pouze ve formuláři náplast.
  • Čtyři zranitelnosti v Node.js. Zranitelnosti vyloučeno ve verzích 14.4.0, 10.21.0 a 12.18.0.
    • CVE-2020-8172 – Umožňuje obejít ověření certifikátu hostitele při opětovném použití relace TLS.
    • CVE-2020-8174 – Potenciálně umožňuje spuštění kódu v systému kvůli přetečení vyrovnávací paměti ve funkcích napi_get_value_string_*(), ke kterému dochází během určitých volání N-API (C API pro psaní nativních doplňků).
    • CVE-2020-10531 je přetečení celého čísla v ICU (International Components for Unicode) pro C/C++, které může vést k přetečení vyrovnávací paměti při použití funkce UnicodeString::doAppend().
    • CVE-2020-11080 - umožňuje odmítnutí služby (100% zatížení CPU) prostřednictvím přenosu velkých rámců "SETTINGS" při připojení přes HTTP/2.
  • Zranitelnost v interaktivní platformě pro vizualizaci metrik Grafana, která se používá k vytváření vizuálních monitorovacích grafů založených na různých zdrojích dat. Chyba v kódu pro práci s avatary umožňuje zahájit odesílání HTTP požadavku z Grafany na libovolnou URL bez předávání autentizace a vidět výsledek tohoto požadavku. Tuto funkci lze využít například pro studium interní sítě firem využívajících Grafana. Problém vyloučeno v otázkách
    Grafana 6.7.4 a 7.0.2. Jako bezpečnostní řešení se doporučuje omezit přístup k URL „/avatar/*“ na serveru, na kterém běží Grafana.

  • zveřejněno Červnová sada bezpečnostních oprav pro Android, která opravuje 34 zranitelností. Čtyřem problémům byla přiřazena kritická úroveň závažnosti: dvě zranitelnosti (CVE-2019-14073, CVE-2019-14080) v proprietárních komponentách Qualcomm) a dvě zranitelnosti v systému, které umožňují spuštění kódu při zpracování speciálně navržených externích dat (CVE-2020 -0117 - celé číslo přetékat v zásobníku Bluetooth, CVE-2020-8597 - Přetečení EAP v pppd).

Zdroj: opennet.ru

Přidat komentář