ProHoster > Blog > Internetnachrichten > Gefährliche Schwachstellen in QEMU, Node.js, Grafana und Android

Gefährliche Schwachstellen in QEMU, Node.js, Grafana und Android

Mehrere kürzlich identifizierte Schwachstellen:

  • Sicherheitslücke (CVE-2020-13765) in QEMU, was möglicherweise dazu führen könnte, dass Code mit QEMU-Prozessberechtigungen auf der Hostseite ausgeführt wird, wenn ein benutzerdefiniertes Kernel-Image in den Gast geladen wird. Das Problem wird durch einen Pufferüberlauf im ROM-Kopiercode während des Systemstarts verursacht und tritt auf, wenn der Inhalt eines 32-Bit-Kernel-Images in den Speicher geladen wird. Der Fix ist derzeit nur im Formular verfügbar Patch.
  • Vier Schwachstellen in Node.js. Schwachstellen eliminiert in den Versionen 14.4.0, 10.21.0 und 12.18.0.
    • CVE-2020-8172 – Ermöglicht die Umgehung der Host-Zertifikatsüberprüfung bei der Wiederverwendung einer TLS-Sitzung.
    • CVE-2020-8174 – Ermöglicht möglicherweise die Codeausführung auf dem System aufgrund eines Pufferüberlaufs in den napi_get_value_string_*()-Funktionen, der bei bestimmten Aufrufen von auftritt N-API (C-API zum Schreiben nativer Add-ons).
    • CVE-2020-10531 ist ein Ganzzahlüberlauf in ICU (International Components for Unicode) für C/C++, der bei Verwendung der Funktion UnicodeString::doAppend() zu einem Pufferüberlauf führen kann.
    • CVE-2020-11080 – ermöglicht Denial-of-Service (100 % CPU-Auslastung) über die Übertragung großer „SETTINGS“-Frames bei der Verbindung über HTTP/2.
  • Sicherheitslücke in der interaktiven Metrikvisualisierungsplattform Grafana, die zum Erstellen visueller Überwachungsdiagramme auf der Grundlage verschiedener Datenquellen verwendet wird. Ein Fehler im Code für die Arbeit mit Avataren ermöglicht es Ihnen, das Senden einer HTTP-Anfrage von Grafana an eine beliebige URL zu initiieren, ohne die Authentifizierung zu bestehen, und das Ergebnis dieser Anfrage anzuzeigen. Diese Funktion kann beispielsweise verwendet werden, um das interne Netzwerk von Unternehmen zu untersuchen, die Grafana verwenden. Problem eliminiert in Fragen
    Grafana 6.7.4 und 7.0.2. Um die Sicherheit zu umgehen, wird empfohlen, den Zugriff auf die URL „/avatar/*“ auf dem Server zu beschränken, auf dem Grafana ausgeführt wird.

  • Veröffentlicht Juni-Reihe von Sicherheitsfixes für Android, die 34 Schwachstellen behebt. Vier Problemen wurde ein kritischer Schweregrad zugewiesen: zwei Schwachstellen (CVE-2019-14073, CVE-2019-14080) in proprietären Qualcomm-Komponenten) und zwei Schwachstellen im System, die die Codeausführung bei der Verarbeitung speziell entwickelter externer Daten ermöglichen (CVE-2020). -0117 – Ganzzahl Überlauf im Bluetooth-Stack, CVE-2020-8597 – EAP-Überlauf in pppd).

Source: opennet.ru

Kommentar hinzufügen