נקודות תורפה מסוכנות ב-QEMU, Node.js, Grafana ואנדרואיד

מספר נקודות תורפה שזוהו לאחרונה:

• פגיעות (CVE-2020-13765) ב-QEMU, שעלול לגרום לקוד להתבצע עם הרשאות תהליך QEMU בצד המארח כאשר תמונת ליבה מותאמת אישית נטענת לאורח. הבעיה נגרמת על ידי הצפת מאגר בקוד העתקת ה-ROM במהלך אתחול המערכת ומתרחשת כאשר התוכן של תמונת ליבה של 32 סיביות נטען לזיכרון. התיקון זמין כרגע רק בטופס תיקון.
• ארבע נקודות תורפה ב-Node.js. פגיעויות חוסלו במהדורות 14.4.0, 10.21.0 ו-12.18.0.
  • CVE-2020-8172 - מאפשר לעקוף אימות אישור מארח בעת שימוש חוזר בהפעלת TLS.
  • CVE-2020-8174 - מאפשר פוטנציאל ביצוע קוד במערכת עקב הצפת מאגר בפונקציות napi_get_value_string_*() המתרחשות במהלך קריאות מסוימות אל N-API (C API לכתיבת הרחבות מקוריות).
  • CVE-2020-10531 הוא הצפת מספרים שלמים ב-ICU (רכיבים בינלאומיים עבור Unicode) עבור C/C++ שיכול להוביל לגלישה במאגר בעת שימוש בפונקציה UnicodeString::doAppend().
  • CVE-2020-11080 - מאפשר מניעת שירות (100% עומס מעבד) באמצעות שידור של מסגרות "SETTINGS" גדולות בעת חיבור באמצעות HTTP/2.
• פגיעות בפלטפורמת הדמיה של מדדים אינטראקטיביים Grafana, המשמשת לבניית גרפי ניטור חזותיים המבוססים על מקורות נתונים שונים. שגיאה בקוד לעבודה עם אווטרים מאפשרת לך ליזום שליחת בקשת HTTP מ-Grafana לכל כתובת URL מבלי להעביר אימות ולראות את התוצאה של בקשה זו. ניתן להשתמש בתכונה זו, למשל, כדי לחקור את הרשת הפנימית של חברות המשתמשות בגרפאנה. בְּעָיָה חוסלו בנושאים
  גרפנה 6.7.4 ו-7.0.2. כפתרון אבטחה, מומלץ להגביל את הגישה לכתובת ה-URL "/avatar/*" בשרת שבו פועל Grafana.

• יצא לאור סט תיקוני אבטחה עבור אנדרואיד בחודש יוני, המתקן 34 פרצות. לארבע בעיות הוקצתה רמת חומרה קריטית: שתי פגיעויות (CVE-2019-14073, CVE-2019-14080) ברכיבי Qualcomm קנייניים) ושתי פגיעויות במערכת המאפשרות ביצוע קוד בעת עיבוד נתונים חיצוניים שתוכננו במיוחד (CVE-2020 -0117 - מספר שלם הצפה בערימת Bluetooth, CVE-2020-8597 - גלישת EAP ב-pppd).

מקור: OpenNet.ru