ProHoster > Blogi > netin uutisia > Vaarallisia haavoittuvuuksia QEMU:ssa, Node.js:ssa, Grafanassa ja Androidissa

Vaarallisia haavoittuvuuksia QEMU:ssa, Node.js:ssa, Grafanassa ja Androidissa

Useita äskettäin tunnistettuja haavoittuvuuksia:

  • Haavoittuvuus (CVE-2020-13765). Ongelman aiheuttaa puskurin ylivuoto ROM-kopiokoodissa järjestelmän käynnistyksen aikana, ja se ilmenee, kun 32-bittisen ytimen kuvan sisältö ladataan muistiin. Korjaus on tällä hetkellä saatavilla vain lomakkeessa laastari.
  • Neljä haavoittuvuutta Node.js:ssä. Haavoittuvuudet eliminoitu julkaisuissa 14.4.0, 10.21.0 ja 12.18.0.
    • CVE-2020-8172 – Mahdollistaa isäntävarmenteen vahvistuksen ohituksen, kun TLS-istuntoa käytetään uudelleen.
    • CVE-2020-8174 - Mahdollisesti mahdollistaa koodin suorittamisen järjestelmässä, koska napi_get_value_string_*()-funktioissa esiintyy puskurin ylivuoto, joka ilmenee tiettyjen kutsujen aikana. N-API (C API alkuperäisten lisäosien kirjoittamiseen).
    • CVE-2020-10531 on C/C++:n ICU:n (International Components for Unicode) kokonaislukujen ylivuoto, joka voi johtaa puskurin ylivuotoon UnicodeString::doAppend()-funktiota käytettäessä.
    • CVE-2020-11080 - sallii palveluneston (100 % suorittimen kuormitus) suurten "SETTINGS"-kehysten lähettämisen kautta, kun yhteys muodostetaan HTTP/2:n kautta.
  • Haavoittuvuus Grafana interaktiivisessa metriikkavisualisointialustassa, jota käytetään visuaalisten seurantakaavioiden rakentamiseen eri tietolähteiden perusteella. Avatarien kanssa työskentelyn koodissa oleva virhe antaa sinun aloittaa HTTP-pyynnön lähettämisen Grafanasta mihin tahansa URL-osoitteeseen ilman todennusta ja nähdä tämän pyynnön tuloksen. Tätä ominaisuutta voidaan käyttää esimerkiksi Grafanaa käyttävien yritysten sisäisen verkoston tutkimiseen. Ongelma eliminoitu asioissa
    Grafana 6.7.4 ja 7.0.2. Suojauksen kiertotapana on suositeltavaa rajoittaa pääsyä URL-osoitteeseen “/avatar/*” Grafana-palvelimella.

  • julkaistu Kesäkuun sarja tietoturvakorjauksia Androidille, joka korjaa 34 haavoittuvuutta. Neljälle ongelmalle on määritetty kriittinen vakavuustaso: kaksi haavoittuvuutta (CVE-2019-14073, CVE-2019-14080) patentoiduissa Qualcomm-komponenteissa) ja kaksi järjestelmän haavoittuvuutta, jotka mahdollistavat koodin suorittamisen, kun käsitellään erityisesti suunniteltuja ulkoisia tietoja (CVE-2020). -0117 - kokonaisluku ylivuoto Bluetooth-pinossa, CVE-2020-8597 - EAP-ylivuoto pppd:ssä).

Lähde: opennet.ru

Lisää kommentti