ProHoster > blog > notizie internet > Vulnerabilità pericolose in QEMU, Node.js, Grafana e Android

Vulnerabilità pericolose in QEMU, Node.js, Grafana e Android

Diverse vulnerabilità identificate di recente:

  • vulnerabilità (CVE-2020-13765) in QEMU, che potrebbe potenzialmente causare l'esecuzione del codice con i privilegi del processo QEMU sul lato host quando un'immagine del kernel personalizzata viene caricata nel guest. Il problema è causato da un overflow del buffer nel codice di copia della ROM durante l'avvio del sistema e si verifica quando il contenuto di un'immagine del kernel a 32 bit viene caricato in memoria. La correzione è attualmente disponibile solo nel modulo toppa.
  • Quattro vulnerabilità in Node.js. Vulnerabilità eliminato nelle versioni 14.4.0, 10.21.0 e 12.18.0.
    • CVE-2020-8172 - Consente di ignorare la verifica del certificato host quando si riutilizza una sessione TLS.
    • CVE-2020-8174 - Potenzialmente consente l'esecuzione di codice sul sistema a causa di un overflow del buffer nelle funzioni napi_get_value_string_*() che si verifica durante determinate chiamate a N-API (API C per la scrittura di componenti aggiuntivi nativi).
    • CVE-2020-10531 è un overflow di numeri interi in ICU (International Components for Unicode) per C/C++ che può portare a un overflow del buffer quando si utilizza la funzione UnicodeString::doAppend().
    • CVE-2020-11080 - consente la negazione del servizio (carico della CPU al 100%) tramite la trasmissione di frame "SETTINGS" di grandi dimensioni durante la connessione tramite HTTP/2.
  • vulnerabilità nella piattaforma di visualizzazione interattiva delle metriche Grafana, utilizzata per creare grafici di monitoraggio visivo basati su varie origini dati. Un errore nel codice per lavorare con gli avatar ti consente di avviare l'invio di una richiesta HTTP da Grafana a qualsiasi URL senza passare l'autenticazione e vedere il risultato di questa richiesta. Questa funzionalità può essere utilizzata, ad esempio, per studiare la rete interna delle aziende che utilizzano Grafana. Problema eliminato nelle questioni
    Grafana 6.7.4 e 7.0.2. Come soluzione alternativa alla sicurezza, si consiglia di limitare l'accesso all'URL "/avatar/*" sul server che esegue Grafana.

  • pubblicato Serie di correzioni di sicurezza di giugno per Android, che risolve 34 vulnerabilità. A quattro problemi è stato assegnato un livello di gravità critico: due vulnerabilità (CVE-2019-14073, CVE-2019-14080) nei componenti proprietari Qualcomm) e due vulnerabilità nel sistema che consentono l'esecuzione di codice durante l'elaborazione di dati esterni appositamente progettati (CVE-2020 -0117 - numero intero traboccare nello stack Bluetooth, CVE-2020-8597 - EAP overflow in pppd).

Fonte: opennet.ru

Aggiungi un commento