ProHoster > blog > berita internet > Kerentanan berbahaya di QEMU, Node.js, Grafana dan Android

Kerentanan berbahaya di QEMU, Node.js, Grafana dan Android

Beberapa kerentanan yang baru-baru ini diidentifikasi:

  • Kerentanan (CVE-2020-13765) di QEMU, yang berpotensi menyebabkan kode dieksekusi dengan hak istimewa proses QEMU di sisi host ketika image kernel khusus dimuat ke tamu. Masalah ini disebabkan oleh buffer overflow dalam kode salinan ROM selama boot sistem dan terjadi ketika konten image kernel 32-bit dimuat ke dalam memori. Perbaikan saat ini hanya tersedia dalam bentuk tambalan.
  • Empat kerentanan di Node.js. Kerentanan dihilangkan dalam rilis 14.4.0, 10.21.0 dan 12.18.0.
    • CVE-2020-8172 - Memungkinkan verifikasi sertifikat host dilewati saat menggunakan kembali sesi TLS.
    • CVE-2020-8174 - Berpotensi mengizinkan eksekusi kode pada sistem karena buffer overflow pada fungsi napi_get_value_string_*() yang terjadi selama panggilan tertentu ke N-API (C API untuk menulis add-on asli).
    • CVE-2020-10531 adalah integer overflow di ICU (Komponen Internasional untuk Unicode) untuk C/C++ yang dapat menyebabkan buffer overflow saat menggunakan fungsi UnicodeString::doAppend().
    • CVE-2020-11080 - memungkinkan penolakan layanan (beban CPU 100%) melalui transmisi frame "SETTINGS" yang besar saat terhubung melalui HTTP/2.
  • Kerentanan dalam platform visualisasi metrik interaktif Grafana, digunakan untuk membuat grafik pemantauan visual berdasarkan berbagai sumber data. Kesalahan dalam kode untuk bekerja dengan avatar memungkinkan Anda memulai pengiriman permintaan HTTP dari Grafana ke URL mana pun tanpa melewati otentikasi dan melihat hasil dari permintaan ini. Fitur ini misalnya dapat digunakan untuk mempelajari jaringan internal perusahaan yang menggunakan Grafana. Masalah dihilangkan dalam masalah
    Grafana 6.7.4 dan 7.0.2. Sebagai solusi keamanan, disarankan untuk membatasi akses ke URL β€œ/avatar/*” di server yang menjalankan Grafana.

  • diterbitkan Kumpulan perbaikan keamanan bulan Juni untuk Android, yang memperbaiki 34 kerentanan. Empat masalah telah ditetapkan tingkat keparahan kritisnya: dua kerentanan (CVE-2019-14073, CVE-2019-14080) pada komponen milik Qualcomm) dan dua kerentanan dalam sistem yang memungkinkan eksekusi kode saat memproses data eksternal yang dirancang khusus (CVE-2020 -0117 - bilangan bulat meluap di tumpukan Bluetooth, CVE-2020-8597 - EAP meluap di pppd).

Sumber: opennet.ru

Tambah komentar