प्रोहोस्टर > ब्लॉग > इंटरनेट समाचार > QEMU, Node.js, Grafana और Android में खतरनाक कमजोरियाँ

QEMU, Node.js, Grafana और Android में खतरनाक कमजोरियाँ

हाल ही में पहचानी गई कई कमजोरियाँ:

  • भेद्यता (CVE-2020-13765) QEMU में, जो संभावित रूप से होस्ट पक्ष पर QEMU प्रक्रिया विशेषाधिकारों के साथ कोड को निष्पादित करने का कारण बन सकता है जब एक कस्टम कर्नेल छवि अतिथि में लोड की जाती है। समस्या सिस्टम बूट के दौरान ROM कॉपी कोड में बफर ओवरफ्लो के कारण होती है और तब होती है जब 32-बिट कर्नेल छवि की सामग्री को मेमोरी में लोड किया जाता है। फिक्स फिलहाल केवल फॉर्म में उपलब्ध है पैबंद.
  • चार कमजोरियाँ Node.js में कमजोरियों सफाया रिलीज़ 14.4.0, 10.21.0 और 12.18.0 में।
    • सीवीई-2020-8172 - टीएलएस सत्र का पुन: उपयोग करते समय होस्ट प्रमाणपत्र सत्यापन को बायपास करने की अनुमति देता है।
    • CVE-2020-8174 - कुछ कॉल के दौरान होने वाले napi_get_value_string_*() फ़ंक्शन में बफर ओवरफ्लो के कारण सिस्टम पर कोड निष्पादन की संभावित अनुमति देता है एन-एपीआई (देशी ऐड-ऑन लिखने के लिए सी एपीआई)।
    • CVE-2020-10531 C/C++ के लिए आईसीयू (यूनिकोड के लिए अंतर्राष्ट्रीय घटक) में एक पूर्णांक अतिप्रवाह है जो UnicodeString::doAppend() फ़ंक्शन का उपयोग करते समय बफर अतिप्रवाह का कारण बन सकता है।
    • सीवीई-2020-11080 - HTTP/100 के माध्यम से कनेक्ट होने पर बड़े "सेटिंग्स" फ्रेम के ट्रांसमिशन के माध्यम से सेवा से इनकार (2% सीपीयू लोड) की अनुमति देता है।
  • भेद्यता ग्राफाना इंटरएक्टिव मेट्रिक्स विज़ुअलाइज़ेशन प्लेटफ़ॉर्म में, विभिन्न डेटा स्रोतों के आधार पर विज़ुअल मॉनिटरिंग ग्राफ़ बनाने के लिए उपयोग किया जाता है। अवतारों के साथ काम करने के लिए कोड में एक त्रुटि आपको प्रमाणीकरण पास किए बिना ग्राफाना से किसी भी यूआरएल पर HTTP अनुरोध भेजने और इस अनुरोध का परिणाम देखने की अनुमति देती है। इस सुविधा का उपयोग, उदाहरण के लिए, ग्राफाना का उपयोग करने वाली कंपनियों के आंतरिक नेटवर्क का अध्ययन करने के लिए किया जा सकता है। संकट सफाया मुद्दों में
    ग्राफाना 6.7.4 और 7.0.2। सुरक्षा समाधान के रूप में, ग्राफाना चलाने वाले सर्वर पर यूआरएल "/अवतार/*" तक पहुंच प्रतिबंधित करने की अनुशंसा की जाती है।

  • प्रकाशित एंड्रॉइड के लिए सुरक्षा सुधारों का जून सेट, जो 34 कमजोरियों को ठीक करता है। चार मुद्दों को एक गंभीर गंभीरता स्तर सौंपा गया है: मालिकाना क्वालकॉम घटकों में दो कमजोरियां (CVE-2019-14073, CVE-2019-14080) और सिस्टम में दो कमजोरियां जो विशेष रूप से डिज़ाइन किए गए बाहरी डेटा (CVE-2020) को संसाधित करते समय कोड निष्पादन की अनुमति देती हैं। -0117 - पूर्णांक बाढ़ ब्लूटूथ स्टैक में, सीवीई-2020-8597 - पीपीपीडी में ईएपी ओवरफ्लो).

स्रोत: opennet.ru

एक टिप्पणी जोड़ें