ProHoster > Blogi > internetiuudised > Ohtlikud haavatavused QEMU-s, Node.js-s, Grafanas ja Androidis

Ohtlikud haavatavused QEMU-s, Node.js-s, Grafanas ja Androidis

Mitmed hiljuti tuvastatud haavatavused:

  • Haavatavus (CVE-2020-13765) QEMU-s, mis võib potentsiaalselt põhjustada koodi käivitamise QEMU protsessiõigustega hosti poolel, kui külalisesse laaditakse kohandatud tuuma kujutis. Probleemi põhjustab puhvri ületäitumine ROM-i koopiakoodis süsteemi alglaadimise ajal ja see ilmneb siis, kui 32-bitise kerneli kujutise sisu laaditakse mällu. Parandus on praegu saadaval ainult vormis plaaster.
  • Neli haavatavust failis Node.js. Haavatavused kõrvaldatud versioonides 14.4.0, 10.21.0 ja 12.18.0.
    • CVE-2020-8172 – võimaldab TLS-i seansi taaskasutamisel hostisertifikaadi kontrollimisest mööda minna.
    • CVE-2020-8174 – võimaldab potentsiaalselt koodi täitmist süsteemis puhvri ületäitumise tõttu funktsioonides napi_get_value_string_*(), mis ilmneb teatud kõnede ajal N-API (C API natiivsete lisandmoodulite kirjutamiseks).
    • CVE-2020-10531 on C/C++ jaoks mõeldud ICU (International Components for Unicode) täisarvude ületäitumine, mis võib funktsiooni UnicodeString::doAppend() kasutamisel kaasa tuua puhvri ületäitumise.
    • CVE-2020-11080 – lubab teenuse keelamist (100% CPU koormust) suurte "SETTINGS" kaadrite edastamise kaudu HTTP/2 kaudu ühenduse loomisel.
  • Haavatavus Grafana interaktiivses mõõdikute visualiseerimisplatvormis, mida kasutatakse erinevatel andmeallikatel põhinevate visuaalsete seiregraafikute koostamiseks. Avataridega töötamise koodi viga võimaldab teil algatada Grafana HTTP-päringu saatmise mis tahes URL-ile ilma autentimist läbimata ja näha selle päringu tulemust. Seda funktsiooni saab kasutada näiteks Grafanat kasutavate ettevõtete sisevõrgu uurimiseks. Probleem kõrvaldatud küsimustes
    Grafana 6.7.4 ja 7.0.2. Turvalahendusena on soovitatav piirata Grafanat kasutavas serveris juurdepääsu URL-ile „/avatar/*”.

  • avaldatud Juuni Androidi turvaparanduste komplekt, mis parandab 34 turvaauku. Neljale probleemile on määratud kriitiline raskusaste: kaks turvaauku (CVE-2019-14073, CVE-2019-14080) Qualcommi patenteeritud komponentides ja kaks turvaauku süsteemis, mis võimaldavad koodi käivitamist spetsiaalselt loodud välisandmete töötlemisel (CVE-2020). -0117 - täisarv ülevool Bluetoothi ​​virnas, CVE-2020-8597 – EAP ületäitumine pppd-s).

Allikas: opennet.ru

Lisa kommentaar