ProHoster > Blag > nuacht idirlín > Leochaileachtaí contúirteacha i QEMU, Node.js, Grafana agus Android

Leochaileachtaí contúirteacha i QEMU, Node.js, Grafana agus Android

Roinnt leochaileachtaí a aithníodh le déanaí:

  • Leochaileacht (CVE-2020-13765) i QEMU, rud a d'fhéadfadh a bheith ina chúis le cód a fhorghníomhú le pribhléidí próisis QEMU ar thaobh an óstaigh nuair a luchtaítear íomhá eithne saincheaptha isteach san aoi. Tarlaíonn an fhadhb mar gheall ar ró-shreabhadh maoláin sa chóip chóip ROM le linn tosaithe an chórais agus tarlaíonn sé nuair a luchtaítear inneachar íomhá eithne 32-giotán isteach sa chuimhne. Níl an tsocrú ar fáil ach san fhoirm faoi láthair paiste.
  • Ceithre leochaileachtaí i Nód.js. Leochaileachtaí deireadh in eisiúintí 14.4.0, 10.21.0 agus 12.18.0.
    • CVE-2020-8172 - Ligeann sé seo fíorú teastais an óstaigh a sheachbhóthar agus seisiún TLS á athúsáid.
    • CVE-2020-8174 - D'fhéadfaí cód a fhorghníomhú ar an gcóras mar gheall ar thar maolán sna feidhmeanna napi_get_value_string_*() a tharlaíonn le linn glaonna áirithe chuig N-API (C API chun breiseáin dhúchasacha a scríobh).
    • Is ró-sreabhadh slánuimhir é CVE-2020-10531 in ICU (Comhpháirteanna Idirnáisiúnta do Unicode) le haghaidh C/C++ a bhféadfadh ró-sreabhadh maoláin a bheith mar thoradh air agus an fheidhm UnicodeString::doAppend() in úsáid.
    • CVE-2020-11080 - ceadaíonn sé seirbhís a dhiúltú (100% ualach LAP) trí fhrámaí móra "SETTINGS" a tharchur agus tú ag nascadh trí HTTP/2.
  • Leochaileacht in ardán léirshamhlaithe méadrachta idirghníomhach Grafana, a úsáidtear chun graif monatóireachta amhairc a thógáil bunaithe ar fhoinsí éagsúla sonraí. Ligeann earráid sa chód maidir le bheith ag obair le habhatár duit iarratas HTTP a sheoladh ó Grafana chuig aon URL gan fíordheimhniú a rith agus toradh an iarratais seo a fheiceáil. Is féidir an ghné seo a úsáid, mar shampla, chun staidéar a dhéanamh ar líonra inmheánach cuideachtaí a úsáideann Grafana. Fadhb deireadh i saincheisteanna
    Grafana 6.7.4 agus 7.0.2. Mar réiteach slándála, moltar srian a chur le rochtain ar an URL “/avatar/*” ar an bhfreastalaí a ritheann Grafana.

  • foilsithe Sraith réitigh slándála do Android i mí an Mheithimh, a réitíonn 34 leochaileacht. Sannadh leibhéal déine ríthábhachtach do cheithre shaincheist: dhá leochaileacht (CVE-2019-14073, CVE-2019-14080) i gcomhpháirteanna dílseánaigh Qualcomm) agus dhá leochaileacht sa chóras a cheadaíonn cód a fhorghníomhú nuair a bhíonn sonraí seachtracha saindeartha á bpróiseáil (CVE-2020). -0117 - slánuimhir thar maoil sa chairn Bluetooth, CVE-2020-8597 - EAP thar maoil i pppd).

Foinse: oscailtenet.ru

Add a comment