ProHoster > Блог > интернет жаңалықтары > QEMU, Node.js, Grafana және Android жүйелеріндегі қауіпті осалдықтар

QEMU, Node.js, Grafana және Android жүйелеріндегі қауіпті осалдықтар

Жақында анықталған бірнеше осалдықтар:

  • Осалдық (CVE-2020-13765) QEMU ішінде, бұл қонаққа реттелетін ядро ​​кескіні жүктелген кезде хост жағында QEMU процесінің артықшылықтарымен кодты орындауға әкелуі мүмкін. Мәселе жүйені жүктеу кезінде ROM көшірме кодындағы буфердің толып кетуінен туындайды және 32-биттік ядро ​​кескінінің мазмұны жадқа жүктелген кезде пайда болады. Түзету қазір тек пішінде қол жетімді патч.
  • Төрт осалдық Node.js ішінде. Осалдықтар жойылды 14.4.0, 10.21.0 және 12.18.0 шығарылымдарында.
    • CVE-2020-8172 - TLS сеансын қайта пайдалану кезінде хост сертификатын тексеруді айналып өтуге мүмкіндік береді.
    • CVE-2020-8174 - белгілі бір қоңыраулар кезінде орын алатын napi_get_value_string_*() функцияларындағы буфердің толып кетуіне байланысты жүйеде кодты орындауға мүмкіндік береді. N-API (Негізгі қондырмаларды жазуға арналған C API).
    • CVE-2020-10531 - UnicodeString::doAppend() функциясын пайдаланған кезде буфердің толып кетуіне әкелуі мүмкін C/C++ үшін ICU (Юникодқа арналған халықаралық құрамдас бөліктер) бүтін сандардың толып кетуі.
    • CVE-2020-11080 - HTTP/100 арқылы қосылу кезінде үлкен «ПАРАМЕТРЛЕР» кадрларын беру арқылы қызмет көрсетуден бас тартуға (2% CPU жүктемесі) мүмкіндік береді.
  • Осалдық түрлі деректер көздеріне негізделген визуалды бақылау графиктерін құру үшін пайдаланылатын Grafana интерактивті метрика визуализация платформасында. Аватарлармен жұмыс істеу кодындағы қате аутентификациядан өтпей Grafana-дан кез келген URL мекенжайына HTTP сұрауын жіберуді бастауға және осы сұраудың нәтижесін көруге мүмкіндік береді. Бұл мүмкіндікті, мысалы, Grafana пайдаланатын компаниялардың ішкі желісін зерттеу үшін пайдалануға болады. Мәселе жойылды мәселелерде
    Grafana 6.7.4 және 7.0.2. Қауіпсіздікті шешу үшін Grafana іске қосылған сервердегі URL «/avatar/*» қолжетімділігін шектеу ұсынылады.

  • жарияланды 34 осалдықты түзететін Android жүйесіне арналған қауіпсіздік түзетулерінің маусымдық жиынтығы. Төрт мәселеге маңызды деңгей белгіленді: екі осалдық (CVE-2019-14073, CVE-2019-14080) меншікті Qualcomm құрамдастарында және жүйеде арнайы әзірленген сыртқы деректерді өңдеу кезінде кодты орындауға мүмкіндік беретін екі осалдық (CVE-2020) -0117 - бүтін сан толып кету Bluetooth стекінде, CVE-2020-8597 - Pppd ішіндегі EAP толып кетуі).

Ақпарат көзі: opennet.ru

пікір қалдыру