ProHoster > Blog > internetske vijesti > Opasne ranjivosti u QEMU, Node.js, Grafana i Android

Opasne ranjivosti u QEMU, Node.js, Grafana i Android

Nekoliko nedavno identificiranih ranjivosti:

  • Ranjivost (CVE-2020-13765) u QEMU, što bi potencijalno moglo uzrokovati izvršavanje koda s privilegijama QEMU procesa na strani glavnog računala kada se prilagođena slika kernela učita u gosta. Problem je uzrokovan prekoračenjem međuspremnika u kodu kopije ROM-a tijekom pokretanja sustava i javlja se kada se sadržaj 32-bitne slike jezgre učitava u memoriju. Popravak je trenutno dostupan samo u obliku zakrpa.
  • Četiri ranjivosti u Node.js. Ranjivosti eliminiran u izdanjima 14.4.0, 10.21.0 i 12.18.0.
    • CVE-2020-8172 - Omogućuje zaobilaženje provjere certifikata glavnog računala prilikom ponovnog korištenja TLS sesije.
    • CVE-2020-8174 - Potencijalno dopušta izvršavanje koda na sustavu zbog prekoračenja međuspremnika u funkcijama napi_get_value_string_*() koje se događa tijekom određenih poziva na N-API (C API za pisanje izvornih dodataka).
    • CVE-2020-10531 je prekoračenje cijelog broja u ICU (International Components for Unicode) za C/C++ koje može dovesti do prekoračenja međuspremnika kada se koristi funkcija UnicodeString::doAppend().
    • CVE-2020-11080 - dopušta uskraćivanje usluge (100% opterećenje CPU-a) putem prijenosa velikih "SETTINGS" okvira pri povezivanju putem HTTP/2.
  • Ranjivost u platformi za vizualizaciju interaktivne metrike Grafana, koja se koristi za izradu grafikona vizualnog praćenja na temelju različitih izvora podataka. Pogreška u kodu za rad s avatarima omogućuje vam da pokrenete slanje HTTP zahtjeva iz Grafane na bilo koji URL bez prolaska autentifikacije i vidite rezultat tog zahtjeva. Ova se značajka može koristiti, primjerice, za proučavanje interne mreže tvrtki koje koriste Grafanu. Problem eliminiran u pitanjima
    Grafana 6.7.4 i 7.0.2. Kao sigurnosno rješenje, preporučuje se ograničiti pristup URL-u “/avatar/*” na poslužitelju koji pokreće Grafanu.

  • Objavljeno Lipanjski set sigurnosnih popravaka za Android, koji popravlja 34 ranjivosti. Četirima problemima dodijeljena je kritična razina ozbiljnosti: dvije ranjivosti (CVE-2019-14073, CVE-2019-14080) u vlasničkim Qualcomm komponentama) i dvije ranjivosti u sustavu koje dopuštaju izvršavanje koda prilikom obrade posebno dizajniranih vanjskih podataka (CVE-2020 -0117 - cijeli broj prelijevanje u Bluetooth stogu, CVE-2020-8597 - EAP prekoračenje u pppd-u).

Izvor: opennet.ru

Dodajte komentar