ʻO nā mea palupalu weliweli ma QEMU, Node.js, Grafana a me Android
Ua ʻike ʻia kekahi mau mea nāwaliwali:
Palekana (CVE-2020-13765) ma QEMU, hiki ke hoʻokō ʻia ke code me nā pono kaʻina hana QEMU ma ka ʻaoʻao hoʻokipa ke hoʻouka ʻia kahi kiʻi kernel maʻamau i ka malihini. Hoʻokumu ʻia ka pilikia ma muli o ke kahe ʻana o ka buffer i ka code ROM i ka wā o ka boot system a loaʻa i ka wā e hoʻouka ʻia ai nā mea o kahi kiʻi kernel 32-bit i ka hoʻomanaʻo. Loaʻa ka hoʻoponopono i kēia manawa ma ke ʻano kāʻei.
CVE-2020-8172 - ʻAe ʻia ka hōʻoia hōʻoia o ka mea hoʻokipa e kāpae ʻia i ka wā e hoʻohana hou ai i kahi kau TLS.
CVE-2020-8174 - Hiki ke ʻae i ka hoʻokō code ma ka ʻōnaehana ma muli o ke kahe ʻana o ka buffer ma nā hana napi_get_value_string_*() i hana ʻia i kekahi mau kelepona i N-API (C API no ke kākau ʻana i nā mea hoʻohui maoli).
ʻO CVE-2020-10531 he integer overflow i ICU (International Components for Unicode) no C/C++ hiki ke alakaʻi i kahi hoʻoheheʻe ʻana i ka wā e hoʻohana ai i ka hana UnicodeString::doAppend().
CVE-2020-11080 - ʻae i ka hōʻole ʻana i ka lawelawe (100% CPU load) ma o ka hoʻouna ʻana i nā kiʻi "SETTINGS" nui ke hoʻopili ʻia ma HTTP/2.
Palekana i loko o ka Grafana interactive metrics visualization platform, i hoʻohana ʻia no ke kūkulu ʻana i nā kiʻi nānā makaʻala ma muli o nā kumu ʻikepili like ʻole. ʻO kahi hewa i ke code no ka hana ʻana me nā avatars hiki iā ʻoe ke hoʻomaka i ka hoʻouna ʻana i kahi noi HTTP mai Grafana i kekahi URL me ka ʻole o ka hōʻoia ʻana a ʻike i ka hopena o kēia noi. Hiki ke hoʻohana ʻia kēia hiʻohiʻona, no ka laʻana, e aʻo i ka pūnaewele kūloko o nā hui e hoʻohana ana iā Grafana. Pilikia hoʻopau ʻia i nā pilikia
ʻO Grafana 6.7.4 a me 7.0.2. Ma ke ʻano he hana palekana, ua ʻōlelo ʻia e kaupalena i ke komo ʻana i ka URL "/ avatar/*" ma ke kikowaena e holo ana iā Grafana.
paʻi ʻia Ua hoʻonohonoho ʻo Iune i nā hoʻoponopono palekana no ka Android, kahi e hoʻoponopono ai i nā nāwaliwali 34. ʻEhā mau pilikia i hāʻawi ʻia i kahi pae koʻikoʻi koʻikoʻi: ʻelua mau haʻahaʻa (CVE-2019-14073, CVE-2019-14080) i nā ʻāpana Qualcomm proprietary) a me ʻelua mau nāwaliwali i ka ʻōnaehana e ʻae ai i ka hoʻokō code i ka wā e hana ai i ka ʻikepili i hoʻolālā kūikawā ʻia (CVE-2020). -0117 - helu helu e kahe ana ma ka pūʻulu Bluetooth, CVE-2020-8597 - He nui ka EAP ma pppd).