ProHoster > Blog > noticias de internet > Vulnerabilidades peligrosas en QEMU, Node.js, Grafana y Android

Vulnerabilidades peligrosas en QEMU, Node.js, Grafana y Android

Varias vulnerabilidades identificadas recientemente:

  • Vulnerabilidad (CVE-2020-13765) en QEMU, lo que podría causar que el código se ejecute con privilegios de proceso QEMU en el lado del host cuando se carga una imagen de kernel personalizada en el invitado. El problema se debe a un desbordamiento del búfer en el código de copia de la ROM durante el inicio del sistema y ocurre cuando el contenido de una imagen del kernel de 32 bits se carga en la memoria. Actualmente, la solución solo está disponible en el formulario parche.
  • Cuatro vulnerabilidades en Node.js. Vulnerabilidades eliminado en las versiones 14.4.0, 10.21.0 y 12.18.0.
    • CVE-2020-8172: permite omitir la verificación del certificado del host al reutilizar una sesión TLS.
    • CVE-2020-8174: potencialmente permite la ejecución de código en el sistema debido a un desbordamiento del búfer en las funciones napi_get_value_string_*() que ocurre durante ciertas llamadas a N-API (API C para escribir complementos nativos).
    • CVE-2020-10531 es un desbordamiento de enteros en ICU (Componentes Internacionales para Unicode) para C/C++ que puede provocar un desbordamiento del búfer cuando se utiliza la función UnicodeString::doAppend().
    • CVE-2020-11080: permite la denegación de servicio (100% de carga de CPU) mediante la transmisión de grandes tramas de "CONFIGURACIÓN" cuando se conecta a través de HTTP/2.
  • Vulnerabilidad en la plataforma de visualización de métricas interactivas Grafana, que se utiliza para crear gráficos de seguimiento visual basados ​​en diversas fuentes de datos. Un error en el código para trabajar con avatares le permite iniciar el envío de una solicitud HTTP desde Grafana a cualquier URL sin pasar la autenticación y ver el resultado de esta solicitud. Esta característica se puede utilizar, por ejemplo, para estudiar la red interna de empresas que utilizan Grafana. Problema eliminado en cuestiones
    Grafana 6.7.4 y 7.0.2. Como solución de seguridad, se recomienda restringir el acceso a la URL “/avatar/*” en el servidor que ejecuta Grafana.

  • publicado Conjunto de correcciones de seguridad de junio para Android, que corrige 34 vulnerabilidades. Se ha asignado un nivel de gravedad crítico a cuatro problemas: dos vulnerabilidades (CVE-2019-14073, CVE-2019-14080) en componentes propietarios de Qualcomm) y dos vulnerabilidades en el sistema que permiten la ejecución de código al procesar datos externos especialmente diseñados (CVE-2020). -0117 - entero Desbordamiento en la pila de Bluetooth, CVE-2020-8597: desbordamiento de EAP en pppd).

Fuente: opennet.ru

Añadir un comentario