ProHoster > Blog > internetes hírek > Veszélyes biztonsági rések a QEMU-ban, a Node.js-ben, a Grafana-ban és az Android-ban
Veszélyes biztonsági rések a QEMU-ban, a Node.js-ben, a Grafana-ban és az Android-ban
Számos nemrégiben azonosított sebezhetőség:
Sebezhetőség (CVE-2020 13765-). A problémát a ROM másolási kódjának puffertúlcsordulása okozza a rendszerindítás során, és akkor fordul elő, amikor egy 32 bites kernelkép tartalma betöltődik a memóriába. A javítás jelenleg csak az űrlapon érhető el tapasz.
CVE-2020-8172 – Lehetővé teszi a gazdagép-tanúsítvány-ellenőrzés megkerülését a TLS-munkamenet újrafelhasználásakor.
CVE-2020-8174 - Potenciálisan lehetővé teszi a kód végrehajtását a rendszeren a napi_get_value_string_*() függvények puffertúlcsordulása miatt, amely bizonyos hívások során fordul elő. N-API (C API natív kiegészítők írásához).
A CVE-2020-10531 egy egész számtúlcsordulás az ICU-ban (International Components for Unicode) C/C++-hoz, amely puffertúlcsorduláshoz vezethet a UnicodeString::doAppend() függvény használatakor.
CVE-2020-11080 - lehetővé teszi a szolgáltatás megtagadását (100%-os CPU terhelés) nagy "BEÁLLÍTÁSOK" keretek átvitelén keresztül, ha HTTP/2-n keresztül csatlakozik.
Sebezhetőség a Grafana interaktív mérőszám-vizualizációs platformban, amelyet különféle adatforrások alapján vizuális megfigyelési grafikonok készítésére használnak. Az avatarokkal való munkavégzés kódjában található hiba lehetővé teszi, hogy HTTP-kérést küldjön a Grafana-tól bármely URL-re anélkül, hogy átadná a hitelesítést, és megtekintheti a kérés eredményét. Ez a funkció használható például a Grafanát használó vállalatok belső hálózatának tanulmányozására. Probléma Eltüntetett kérdésekben
Grafana 6.7.4 és 7.0.2. Biztonsági megoldásként javasolt korlátozni a hozzáférést a „/avatar/*” URL-hez a Grafana-t futtató szerveren.
közzétett Biztonsági javítások júniusi sorozata az Androidhoz, amely 34 sebezhetőséget javít ki. Négy probléma van hozzárendelve kritikus súlyossági szinthez: két sebezhetőség (CVE-2019-14073, CVE-2019-14080) a védett Qualcomm összetevőkben) és két biztonsági rés a rendszerben, amelyek lehetővé teszik kódfuttatást speciálisan tervezett külső adatok feldolgozásakor (CVE-2020). -0117 - egész szám túlcsordulás a Bluetooth veremben, CVE-2020-8597 – EAP túlcsordulás a pppd-ben).