ProHoster > Blog > Interneteko albisteak > Ahultasun arriskutsuak QEMU, Node.js, Grafana eta Android-en

Ahultasun arriskutsuak QEMU, Node.js, Grafana eta Android-en

Duela gutxi identifikatutako hainbat ahultasun:

  • Ahultasuna (CVE-2020-13765) QEMU-n, eta horrek ostalari aldean kernel-irudi pertsonalizatu bat kargatzen denean QEMU prozesu-pribilegioekin exekutatzea eragin dezake. Arazoa ROM kopiaren kodean buffer gainezkatzeak sortzen du sistema abiaraztean eta 32 biteko nukleoaren irudi baten edukia memorian kargatzen denean gertatzen da. Konponketa inprimakian soilik dago eskuragarri adabakia.
  • Lau ahultasun Node.js-en. Ahultasunak ezabatuta 14.4.0, 10.21.0 eta 12.18.0 bertsioetan.
    • CVE-2020-8172 - Ostalariaren ziurtagiriaren egiaztapena saihesteko aukera ematen du TLS saio bat berrerabiltzean.
    • CVE-2020-8174 - Baliteke sisteman kodea exekutatzeko aukera ematen duena, dei batzuetan gertatzen den napi_get_value_string_*() funtzioetan buffer gainezkatzea dela eta. N-APIa (C APIa jatorrizko gehigarriak idazteko).
    • CVE-2020-10531 UnicodeString::doAppend() funtzioa erabiltzean buffer gainezkatzea ekar dezakeen ICU (Unicoderako Nazioarteko Osagaiak) C/C++-ko osoko gainezkatze bat da.
    • CVE-2020-11080 - zerbitzua ukatzea (% 100eko PUZaren karga) aukera ematen du "SETTINGS" fotograma handien transmisioaren bidez HTTP/2 bidez konektatzean.
  • Ahultasuna Grafana metrika interaktiboen bistaratze plataforman, hainbat datu-iturritan oinarritutako ikus-entzunezko monitorizazio grafikoak eraikitzeko erabiltzen dena. Avatarrekin lan egiteko kodearen errore batek Grafana-tik HTTP eskaera bat bidaltzen hasteko aukera ematen du edozein URLtara autentifikazioa pasatu gabe eta eskaera honen emaitza ikusteko. Ezaugarri hau erabil daiteke, adibidez, Grafana erabiltzen duten enpresen barne-sarea aztertzeko. Arazoa ezabatuta gaietan
    Grafana 6.7.4 eta 7.0.2. Segurtasun konponbide gisa, Grafana exekutatzen duen zerbitzarian "/avatar/*" URLrako sarbidea mugatzea gomendatzen da.

  • argitaratua 34 ahultasun konpontzen dituen Androiderako segurtasun konponketa ekaineko multzoa. Lau arazori larritasun maila kritikoa esleitu zaie: bi ahultasun (CVE-2019-14073, CVE-2019-14080) jabedun Qualcomm osagaietan) eta berariaz diseinatutako kanpoko datuak prozesatzen direnean kodea exekutatzeko aukera ematen duten sistemako bi ahultasun (CVE-2020). -0117 - zenbaki osoa gainezka egin Bluetooth pila batean, CVE-2020-8597 - EAP gainezkatzea pppd-n).

Iturria: opennet.ru

Gehitu iruzkin berria