ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Kerentanan mbebayani ing QEMU, Node.js, Grafana lan Android

Kerentanan mbebayani ing QEMU, Node.js, Grafana lan Android

Sawetara kerentanan sing bubar diidentifikasi:

  • Kerentanan (CVE-2020-13765) ing QEMU, sing bisa nyebabake kode dieksekusi kanthi hak istimewa proses QEMU ing sisih host nalika gambar kernel khusus dimuat menyang tamu. Masalah kasebut disebabake kebanjiran buffer ing kode salinan ROM sajrone boot sistem lan kedadeyan nalika isi gambar kernel 32-bit dimuat ing memori. Ndandani saiki mung kasedhiya ing formulir tembelan.
  • Papat kerentanan ing Node.js. Kerentanan diilangi ing release 14.4.0, 10.21.0 lan 12.18.0.
    • CVE-2020-8172 - Ngidini verifikasi sertifikat host dilewati nalika nggunakake sesi TLS maneh.
    • CVE-2020-8174 - Potensi ngidini eksekusi kode ing sistem amarga kebanjiran buffer ing fungsi napi_get_value_string_*() sing kedadeyan sajrone telpon tartamtu menyang N-API (C API kanggo nulis add-on asli).
    • CVE-2020-10531 minangka overflow integer ing ICU (Komponen Internasional kanggo Unicode) kanggo C / C ++ sing bisa nyebabake kebanjiran buffer nalika nggunakake fungsi UnicodeString :: doAppend ().
    • CVE-2020-11080 - ngidini nolak layanan (100% beban CPU) liwat transmisi pigura "SETTINGS" gedhe nalika nyambung liwat HTTP / 2.
  • Kerentanan ing platform visualisasi metrik interaktif Grafana, digunakake kanggo mbangun grafik pemantauan visual adhedhasar macem-macem sumber data. Kesalahan ing kode kanggo nggarap avatar ngidini sampeyan miwiti ngirim panjalukan HTTP saka Grafana menyang URL apa wae tanpa ngliwati otentikasi lan ndeleng asil panyuwunan iki. Fitur iki bisa digunakake, contone, kanggo sinau jaringan internal perusahaan nggunakake Grafana. Masalah diilangi ing masalah
    Grafana 6.7.4 lan 7.0.2. Minangka solusi keamanan, dianjurake kanggo mbatesi akses menyang URL "/ avatar / *" ing server sing nganggo Grafana.

  • diterbitake Setel perbaikan keamanan Juni kanggo Android, sing ndandani 34 kerentanan. Papat masalah wis diwenehi tingkat keruwetan kritis: loro kerentanan (CVE-2019-14073, CVE-2019-14080) ing komponen Qualcomm proprietary) lan loro kerentanan ing sistem sing ngidini eksekusi kode nalika ngolah data eksternal sing dirancang khusus (CVE-2020). -0117 - integer kebanjiran ing tumpukan Bluetooth, CVE-2020-8597 - EAP kebanjiran ing pppd).

Source: opennet.ru

Add a comment