ProHoster > Blog > actualités internet > Vulnérabilités dangereuses dans QEMU, Node.js, Grafana et Android

Vulnérabilités dangereuses dans QEMU, Node.js, Grafana et Android

Plusieurs vulnérabilités récemment identifiées :

  • La vulnérabilité (CVE-2020-13765) dans QEMU, ce qui pourrait potentiellement entraîner l'exécution de code avec les privilèges de processus QEMU côté hôte lorsqu'une image de noyau personnalisée est chargée dans l'invité. Le problème est dû à un débordement de tampon dans le code de copie de la ROM lors du démarrage du système et se produit lorsque le contenu d'une image du noyau 32 bits est chargé en mémoire. Le correctif n'est actuellement disponible que sous la forme correctif.
  • Quatre vulnérabilités dans Node.js. Vulnérabilités éliminé dans les versions 14.4.0, 10.21.0 et 12.18.0.
    • CVE-2020-8172 - Permet de contourner la vérification du certificat hôte lors de la réutilisation d'une session TLS.
    • CVE-2020-8174 - Permet potentiellement l'exécution de code sur le système en raison d'un débordement de tampon dans les fonctions napi_get_value_string_*() qui se produit lors de certains appels à N-API (API C pour écrire des modules complémentaires natifs).
    • CVE-2020-10531 est un débordement d'entier dans ICU (International Components for Unicode) pour C/C++ qui peut entraîner un débordement de tampon lors de l'utilisation de la fonction UnicodeString::doAppend().
    • CVE-2020-11080 - permet un déni de service (charge CPU à 100 %) via la transmission de grandes trames « SETTINGS » lors de la connexion via HTTP/2.
  • La vulnérabilité dans la plateforme interactive de visualisation de métriques Grafana, utilisée pour créer des graphiques de suivi visuel basés sur diverses sources de données. Une erreur dans le code pour travailler avec les avatars vous permet de lancer l'envoi d'une requête HTTP depuis Grafana vers n'importe quelle URL sans passer l'authentification et de voir le résultat de cette requête. Cette fonctionnalité peut être utilisée, par exemple, pour étudier le réseau interne des entreprises utilisant Grafana. Problème éliminé dans les problèmes
    Grafana 6.7.4 et 7.0.2. Par mesure de sécurité, il est recommandé de restreindre l'accès à l'URL « /avatar/* » sur le serveur exécutant Grafana.

  • Publié Ensemble de correctifs de sécurité de juin pour Android, qui corrige 34 vulnérabilités. Quatre problèmes se sont vu attribuer un niveau de gravité critique : deux vulnérabilités (CVE-2019-14073, CVE-2019-14080) dans des composants propriétaires Qualcomm) et deux vulnérabilités dans le système qui permettent l'exécution de code lors du traitement de données externes spécialement conçues (CVE-2020). -0117 - entier débordement dans la pile Bluetooth, CVE-2020-8597 - Débordement EAP dans pppd).

Source: opennet.ru

Ajouter un commentaire