ProHoster > Blog > internetes hírek > Veszélyes biztonsági rések a QEMU-ban, a Node.js-ben, a Grafana-ban és az Android-ban

Veszélyes biztonsági rések a QEMU-ban, a Node.js-ben, a Grafana-ban és az Android-ban

Számos nemrégiben azonosított sebezhetőség:

  • Sebezhetőség (CVE-2020 13765-). A problémát a ROM másolási kódjának puffertúlcsordulása okozza a rendszerindítás során, és akkor fordul elő, amikor egy 32 bites kernelkép tartalma betöltődik a memóriába. A javítás jelenleg csak az űrlapon érhető el tapasz.
  • Négy sebezhetőség a Node.js-ben. Sebezhetőségek Eltüntetett a 14.4.0, 10.21.0 és 12.18.0 kiadásokban.
    • CVE-2020-8172 – Lehetővé teszi a gazdagép-tanúsítvány-ellenőrzés megkerülését a TLS-munkamenet újrafelhasználásakor.
    • CVE-2020-8174 - Potenciálisan lehetővé teszi a kód végrehajtását a rendszeren a napi_get_value_string_*() függvények puffertúlcsordulása miatt, amely bizonyos hívások során fordul elő. N-API (C API natív kiegészítők írásához).
    • A CVE-2020-10531 egy egész számtúlcsordulás az ICU-ban (International Components for Unicode) C/C++-hoz, amely puffertúlcsorduláshoz vezethet a UnicodeString::doAppend() függvény használatakor.
    • CVE-2020-11080 - lehetővé teszi a szolgáltatás megtagadását (100%-os CPU terhelés) nagy "BEÁLLÍTÁSOK" keretek átvitelén keresztül, ha HTTP/2-n keresztül csatlakozik.
  • Sebezhetőség a Grafana interaktív mérőszám-vizualizációs platformban, amelyet különféle adatforrások alapján vizuális megfigyelési grafikonok készítésére használnak. Az avatarokkal való munkavégzés kódjában található hiba lehetővé teszi, hogy HTTP-kérést küldjön a Grafana-tól bármely URL-re anélkül, hogy átadná a hitelesítést, és megtekintheti a kérés eredményét. Ez a funkció használható például a Grafanát használó vállalatok belső hálózatának tanulmányozására. Probléma Eltüntetett kérdésekben
    Grafana 6.7.4 és 7.0.2. Biztonsági megoldásként javasolt korlátozni a hozzáférést a „/avatar/*” URL-hez a Grafana-t futtató szerveren.

  • közzétett Biztonsági javítások júniusi sorozata az Androidhoz, amely 34 sebezhetőséget javít ki. Négy probléma van hozzárendelve kritikus súlyossági szinthez: két sebezhetőség (CVE-2019-14073, CVE-2019-14080) a védett Qualcomm összetevőkben) és két biztonsági rés a rendszerben, amelyek lehetővé teszik kódfuttatást speciálisan tervezett külső adatok feldolgozásakor (CVE-2020). -0117 - egész szám túlcsordulás a Bluetooth veremben, CVE-2020-8597 – EAP túlcsordulás a pppd-ben).

Forrás: opennet.ru

Hozzászólás