ProHoster > Blog > ειδήσεις στο διαδίκτυο > Επικίνδυνα τρωτά σημεία σε QEMU, Node.js, Grafana και Android

Επικίνδυνα τρωτά σημεία σε QEMU, Node.js, Grafana και Android

Αρκετά τρωτά σημεία που εντοπίστηκαν πρόσφατα:

  • Τρωτό (CVE-2020-13765) στο QEMU, το οποίο θα μπορούσε ενδεχομένως να οδηγήσει σε εκτέλεση κώδικα με τα προνόμια της διαδικασίας QEMU από την πλευρά του συστήματος κεντρικού υπολογιστή κατά την εκκίνηση μιας ειδικά διαμορφωμένης εικόνας πυρήνα στο σύστημα επισκέπτη. Το ζήτημα προκαλείται από μια υπερχείλιση buffer στον κώδικα που αντιγράφει τα περιεχόμενα της ROM κατά το στάδιο εκκίνησης του συστήματος και παρουσιάζεται κατά τη φόρτωση των περιεχομένων της εικόνας του πυρήνα 32-bit στη μνήμη. Η επιδιόρθωση είναι προς το παρόν διαθέσιμη μόνο στη φόρμα κηλίδα.
  • Τέσσερα τρωτά σημεία στο Node.js. τρωτά σημεία εξαλειφθεί στις εκδόσεις 14.4.0, 10.21.0 και 12.18.0.
    • CVE-2020-8172 - Επιτρέπει την παράκαμψη της επικύρωσης πιστοποιητικού κεντρικού υπολογιστή κατά την επαναχρησιμοποίηση μιας περιόδου λειτουργίας TLS.
    • CVE-2020-8174 - Δυνητικά επιτρέπει την εκτέλεση κώδικα στο σύστημα λόγω υπερχείλισης buffer στις συναρτήσεις napi_get_value_string_*() που συμβαίνει κατά τη διάρκεια ορισμένων κλήσεων προς N-API (C API για τη σύνταξη εγγενών πρόσθετων).
    • CVE-2020-10531 - Μια υπερχείλιση ακεραίων σε ICU (Διεθνή Στοιχεία για Unicode) για C/C++ μπορεί να οδηγήσει σε υπερχείλιση buffer κατά τη χρήση της συνάρτησης UnicodeString::doAppend().
    • CVE-2020-11080 - επιτρέπει άρνηση εξυπηρέτησης (100% φορτίο CPU) μέσω μετάδοσης μεγάλων πλαισίων "SETTINGS" κατά τη σύνδεση μέσω HTTP/2.
  • Τρωτό στην διαδραστική πλατφόρμα οπτικοποίησης μετρήσεων Grafana, που χρησιμοποιείται για τη δημιουργία γραφημάτων οπτικής παρακολούθησης με βάση διάφορες πηγές δεδομένων. Ένα σφάλμα στον κώδικα για την εργασία με avatar σάς επιτρέπει να ξεκινήσετε ένα αίτημα HTTP από το Grafana σε οποιαδήποτε διεύθυνση URL χωρίς έλεγχο ταυτότητας και να δείτε το αποτέλεσμα αυτού του αιτήματος. Αυτή η λειτουργία μπορεί να χρησιμοποιηθεί, για παράδειγμα, για τη μελέτη του εσωτερικού δικτύου εταιρειών που χρησιμοποιούν το Grafana. Πρόβλημα εξαλειφθεί σε θέματα
    Grafana 6.7.4 και 7.0.2. Ως λύση, συνιστάται να περιορίσετε την πρόσβαση στη διεύθυνση URL "/avatar/*" στον διακομιστή με το Grafana.
  • Που δημοσιεύθηκε Σημειώσεις ενημέρωσης κώδικα ασφαλείας Ιουνίου για Android, οι οποίες διορθώνουν 34 ευπάθειες. Τέσσερα ζητήματα αξιολογούνται ως κρίσιμα: δύο ευπάθειες (CVE-2019-14073, CVE-2019-14080) σε ιδιόκτητα στοιχεία της Qualcomm) και δύο ευπάθειες στο σύστημα που επιτρέπουν την εκτέλεση κώδικα κατά την επεξεργασία ειδικά κατασκευασμένων εξωτερικών δεδομένων (CVE-2020-0117 - ακέραιος αριθμός ξεχείλισμα στη στοίβα Bluetooth, CVE-2020-8597 - Υπερχείλιση EAP σε pppd).

Πηγή: opennet.ru

Αγοράστε αξιόπιστη φιλοξενία για ιστότοπους με προστασία DDoS, διακομιστές VPS VDS 🔥 Αγοράστε αξιόπιστη φιλοξενία ιστοσελίδων με προστασία DDoS, διακομιστές VPS VDS | ProHoster