ProHoster > Blog > noticias de internet > Vulnerabilidades perigosas en QEMU, Node.js, Grafana e Android

Vulnerabilidades perigosas en QEMU, Node.js, Grafana e Android

Varias vulnerabilidades identificadas recentemente:

  • Vulnerabilidade (CVE-2020-13765) en QEMU, o que podería provocar que se execute código con privilexios de proceso QEMU no host cando se carga unha imaxe do núcleo personalizada no convidado. O problema é causado por un desbordamento do búfer no código de copia da ROM durante o inicio do sistema e ocorre cando se cargan na memoria o contido dunha imaxe do núcleo de 32 bits. A corrección só está dispoñible actualmente no formulario parche.
  • Catro vulnerabilidades en Node.js. Vulnerabilidades eliminado nas versións 14.4.0, 10.21.0 e 12.18.0.
    • CVE-2020-8172: permite omitir a verificación do certificado do host ao reutilizar unha sesión TLS.
    • CVE-2020-8174: permite potencialmente a execución de código no sistema debido a un desbordamento do búfer nas funcións napi_get_value_string_*() que se produce durante determinadas chamadas a N-API (API C para escribir complementos nativos).
    • CVE-2020-10531 é un desbordamento de enteiros en ICU (compoñentes internacionais para Unicode) para C/C++ que pode provocar un desbordamento do búfer ao usar a función UnicodeString::doAppend().
    • CVE-2020-11080: permite a denegación de servizo (carga do 100 % da CPU) mediante a transmisión de grandes cadros "CONFIGURACIÓN" ao conectarse mediante HTTP/2.
  • Vulnerabilidade na plataforma de visualización de métricas interactivas Grafana, utilizada para construír gráficos de seguimento visual baseados en varias fontes de datos. Un erro no código para traballar con avatares permítelle iniciar o envío dunha solicitude HTTP desde Grafana a calquera URL sen pasar a autenticación e ver o resultado desta solicitude. Esta función pódese utilizar, por exemplo, para estudar a rede interna de empresas que utilizan Grafana. Problema eliminado en cuestións
    Grafana 6.7.4 e 7.0.2. Como solución de seguridade, recoméndase restrinxir o acceso ao URL "/avatar/*" no servidor que executa Grafana.

  • publicado Conxunto de xuño de correccións de seguridade para Android, que corrixe 34 vulnerabilidades. Asignaronse un nivel de gravidade crítico a catro problemas: dúas vulnerabilidades (CVE-2019-14073, CVE-2019-14080) en compoñentes propietarios de Qualcomm) e dúas vulnerabilidades no sistema que permiten a execución de código ao procesar datos externos especialmente deseñados (CVE-2020). -0117 - número enteiro desbordamento na pila Bluetooth, CVE-2020-8597: desbordamento de EAP en pppd).

Fonte: opennet.ru

Engadir un comentario