ProHoster > Блог > ព័ត៌មានតាមអ៊ីនធឺណិត > ភាពងាយរងគ្រោះដ៏គ្រោះថ្នាក់នៅក្នុង QEMU, Node.js, Grafana និង Android

ភាពងាយរងគ្រោះដ៏គ្រោះថ្នាក់នៅក្នុង QEMU, Node.js, Grafana និង Android

ភាពងាយរងគ្រោះដែលបានកំណត់ថ្មីៗនេះជាច្រើន៖

  • ភាពងាយរងគ្រោះ (CVE-2020-13765) в QEMU, которая потенциально может привести к выполнению кода с правами процесса QEMU на стороне хост-системы при загрузке в гостевой системе специально оформленного образа ядра. Проблема вызвана переполнением буфера в коде копирования содержимого ПЗУ на этапе загрузки системы и проявляется при загрузке содержимого 32-разрядного образа ядра в память. Исправление пока доступно только в форме បំណះ.
  • Четыре уязвимости в Node.js. Уязвимости លុបចោល в выпусках 14.4.0, 10.21.0 и 12.18.0.
    • CVE-2020-8172 — позволяет обойти проверку сертификата хоста при повторном использовании TLS-сеанса.
    • CVE-2020-8174 — потенциально позволяет добиться выполнения кода в системе из-за переполнения буфера в функциях napi_get_value_string_*(), возникающего при определённых обращениях к អិន - ភីអេស (Си API для написания нативных дополнений).
    • CVE-2020-10531 — целочисленное переполнение в ICU (International Components for Unicode) для C/C++, которое может привести к переполнению буфера при использовании функции UnicodeString::doAppend().
    • CVE-2020-11080 — позволяет осуществить отказ в обслуживании (100% нагрузка на CPU) через передачу больших кадров «SETTINGS» при подключении по HTTP/2.
  • ភាពងាយរងគ្រោះ в платформе интерактивной визуализации метрик Grafana, применяемой для построения графиков наглядного мониторинга на основе различных источников данных. Ошибка в коде работы с аватарами позволяет без прохождения аутентификации инициировать отправку HTTP-запроса со стороны Grafana на любой URL и посмотреть результат этого запроса. Указанная особенность может применяться, например, для изучения внутренней сети компаний, использующих Grafana. Проблема លុបចោល в выпусках
    Grafana 6.7.4 и 7.0.2. В качестве обходного пути защиты рекомендуется ограничить доступ к URL «/avatar/*» на сервере с Grafana.

  • បោះពុម្ពផ្សាយ июньский набор исправлений проблем с безопасностью для Android, в котором устранены 34 уязвимости. Четырём проблемам присвоен критический уровень опасности: две уязвимости (CVE-2019-14073, CVE-2019-14080) в проприетарных компонентах Qualcomm) и две уязвимости в системе, позволяющие выполнить код при обработке специально оформленных внешних данных (CVE-2020-0117 — целочисленное ហៀរ в Bluetooth-стеке, CVE-2020-8597 — переполнение EAP в pppd).

ប្រភព: opennet.ru

បន្ថែមមតិយោបល់