ProHoster > Блог > interretaj novaĵoj > Danĝeraj vundeblecoj en QEMU, Node.js, Grafana kaj Android

Danĝeraj vundeblecoj en QEMU, Node.js, Grafana kaj Android

Pluraj lastatempe identigis vundeblecojn:

  • Vundebleco (CVE-2020-13765) en QEMU, kiu eble povus kaŭzi kodon esti efektivigita kun QEMU-procezprivilegioj ĉe la mastro-flanko kiam laŭmenda kernbildo estas ŝarĝita en la gaston. La problemo estas kaŭzita de bufro-superfluo en la kopikodo de la ROM dum sistema ekfunkciigo kaj okazas kiam la enhavo de 32-bita kernbildo estas ŝarĝita en memoron. La riparo estas nuntempe nur havebla en la formo flikaĵo.
  • Kvar vundeblecoj en Node.js. Vundeblecoj eliminita en eldonoj 14.4.0, 10.21.0 kaj 12.18.0.
    • CVE-2020-8172 - Permesas ke la kontrolado de la atestilo de gastiganto estu preterpasita dum reuzo de TLS-sesio.
    • CVE-2020-8174 - Eble ebligas kodan ekzekuton en la sistemo pro bufrosuperfluo en la funkcioj napi_get_value_string_*() kiu okazas dum certaj vokoj al N-API (C API por verki indiĝenajn aldonaĵojn).
    • CVE-2020-10531 estas entjera superfluo en ICU (Internaciaj Komponantoj por Unikodo) por C/C++ kiu povas konduki al bufrosuperfluo dum uzado de la UnicodeString::doAppend() funkcio.
    • CVE-2020-11080 - ebligas neon de servo (100% CPU-ŝarĝo) per transsendo de grandaj "AJROJ" kadroj dum konekto per HTTP/2.
  • Vundebleco en la Grafana interaga metrika bildiga platformo, uzata por konstrui vidajn monitorajn grafikojn bazitajn sur diversaj datumfontoj. Eraro en la kodo por labori kun avataroj permesas al vi komenci sendi HTTP-peton de Grafana al iu ajn URL sen pasi aŭtentigon kaj vidi la rezulton de ĉi tiu peto. Ĉi tiu funkcio povas esti uzata, ekzemple, por studi la internan reton de kompanioj uzante Grafana. Problemo eliminita en aferoj
    Grafana 6.7.4 kaj 7.0.2. Kiel sekureca solvo, oni rekomendas limigi la aliron al la URL "/avatar/*" sur la servilo, kiu funkcias Grafana.

  • eldonita Junia aro de sekurecaj korektoj por Android, kiu riparas 34 vundeblecojn. Kvar problemoj ricevis kritikan severecan nivelon: du vundeblecoj (CVE-2019-14073, CVE-2019-14080) en proprietaj komponantoj de Qualcomm) kaj du vundeblecoj en la sistemo, kiuj ebligas kodan ekzekuton dum prilaborado de speciale desegnitaj eksteraj datumoj (CVE-2020). -0117 - entjero superfluo en la Bluetooth-stako, CVE-2020-8597 - EAP superfluo en pppd).

fonto: opennet.ru

Aldoni komenton