最近特定されたいくつかの脆弱性:
- () QEMU では、カスタム カーネル イメージがゲストにロードされるときに、ホスト側の QEMU プロセス権限でコードが実行される可能性があります。 この問題は、システム起動時の ROM コピー コードのバッファ オーバーフローによって発生し、32 ビット カーネル イメージの内容がメモリにロードされるときに発生します。 修正は現在、次の形式でのみ利用可能です .
- Node.jsで。 脆弱性 リリース 14.4.0、10.21.0、および 12.18.0 では。
- CVE-2020-8172 - TLS セッションを再利用するときにホスト証明書の検証をバイパスできるようにします。
- CVE-2020-8174 - 特定の呼び出し中に発生する napi_get_value_string_*() 関数のバッファ オーバーフローにより、システム上でコードの実行が許可される可能性があります。 (ネイティブ アドオンを作成するための C API)。
- CVE-2020-10531 は、C/C++ の ICU (International Components for Unicode) における整数オーバーフローであり、UnicodeString::doAppend() 関数の使用時にバッファ オーバーフローを引き起こす可能性があります。
- CVE-2020-11080 - HTTP/100 経由で接続するときに、大きな「SETTINGS」フレームの送信によるサービス拒否 (2% CPU 負荷) を許可します。
- Grafana インタラクティブ メトリクス視覚化プラットフォームで、さまざまなデータ ソースに基づいて視覚的な監視グラフを構築するために使用されます。 アバターを操作するためのコードにエラーがあるため、認証を通過せずに Grafana から任意の URL への HTTP リクエストの送信を開始し、このリクエストの結果を確認することができます。 この機能は、たとえば、Grafana を使用して企業の内部ネットワークを調査するために使用できます。 問題 問題中
グラファナ 6.7.4 および 7.0.2。 セキュリティの回避策として、Grafana を実行しているサーバー上の URL「/avatar/*」へのアクセスを制限することをお勧めします。 - 34 月の Android 用セキュリティ修正セット。2019 件の脆弱性が修正されます。 14073 つの問題に重大度レベルが割り当てられています。2019 つは Qualcomm 独自のコンポーネントの 14080 つの脆弱性 (CVE-2020-0117、CVE-XNUMX-XNUMX)、もう XNUMX つは特別に設計された外部データの処理時にコードの実行を可能にするシステムの XNUMX つの脆弱性 (CVE-XNUMX) です。 -XNUMX - 整数 Bluetooth スタック内で、 ).
出所: オープンネット.ru