ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > QEMU, Node.js, Grafana ಮತ್ತು Android ನಲ್ಲಿ ಅಪಾಯಕಾರಿ ದುರ್ಬಲತೆಗಳು

QEMU, Node.js, Grafana ಮತ್ತು Android ನಲ್ಲಿ ಅಪಾಯಕಾರಿ ದುರ್ಬಲತೆಗಳು

ಇತ್ತೀಚೆಗೆ ಗುರುತಿಸಲಾದ ಹಲವಾರು ದುರ್ಬಲತೆಗಳು:

  • ದುರ್ಬಲತೆ (CVE-2020-13765) QEMU ನಲ್ಲಿ, ಕಸ್ಟಮ್ ಕರ್ನಲ್ ಚಿತ್ರವನ್ನು ಅತಿಥಿಗೆ ಲೋಡ್ ಮಾಡಿದಾಗ ಹೋಸ್ಟ್ ಬದಿಯಲ್ಲಿ QEMU ಪ್ರಕ್ರಿಯೆ ಸವಲತ್ತುಗಳೊಂದಿಗೆ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಸಂಭಾವ್ಯವಾಗಿ ಕಾರಣವಾಗಬಹುದು. ಸಿಸ್ಟಮ್ ಬೂಟ್ ಸಮಯದಲ್ಲಿ ROM ನಕಲು ಕೋಡ್‌ನಲ್ಲಿನ ಬಫರ್ ಓವರ್‌ಫ್ಲೋನಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ ಮತ್ತು 32-ಬಿಟ್ ಕರ್ನಲ್ ಇಮೇಜ್‌ನ ವಿಷಯಗಳನ್ನು ಮೆಮೊರಿಗೆ ಲೋಡ್ ಮಾಡಿದಾಗ ಸಂಭವಿಸುತ್ತದೆ. ಪರಿಹಾರವು ಪ್ರಸ್ತುತ ರೂಪದಲ್ಲಿ ಮಾತ್ರ ಲಭ್ಯವಿದೆ ತೇಪೆ.
  • ನಾಲ್ಕು ದುರ್ಬಲತೆಗಳು Node.js ನಲ್ಲಿ. ದುರ್ಬಲತೆಗಳು ನಿವಾರಿಸಲಾಗಿದೆ 14.4.0, 10.21.0 ಮತ್ತು 12.18.0 ಬಿಡುಗಡೆಗಳಲ್ಲಿ.
    • CVE-2020-8172 - TLS ಸೆಶನ್ ಅನ್ನು ಮರುಬಳಕೆ ಮಾಡುವಾಗ ಹೋಸ್ಟ್ ಪ್ರಮಾಣಪತ್ರ ಪರಿಶೀಲನೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ.
    • CVE-2020-8174 - ಕೆಲವು ಕರೆಗಳ ಸಮಯದಲ್ಲಿ ಸಂಭವಿಸುವ napi_get_value_string_*() ಫಂಕ್ಷನ್‌ಗಳಲ್ಲಿನ ಬಫರ್ ಓವರ್‌ಫ್ಲೋ ಕಾರಣದಿಂದಾಗಿ ಸಿಸ್ಟಂನಲ್ಲಿ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಸಂಭಾವ್ಯವಾಗಿ ಅನುಮತಿಸುತ್ತದೆ ಎನ್-ಎಪಿಐ (ಸ್ಥಳೀಯ ಆಡ್-ಆನ್‌ಗಳನ್ನು ಬರೆಯಲು C API).
    • CVE-2020-10531 ಯುನಿಕೋಡ್‌ಸ್ಟ್ರಿಂಗ್::doAppend() ಕಾರ್ಯವನ್ನು ಬಳಸುವಾಗ ಬಫರ್ ಓವರ್‌ಫ್ಲೋಗೆ ಕಾರಣವಾಗಬಹುದಾದ C/C++ ಗಾಗಿ ICU (ಯುನಿಕೋಡ್‌ಗಾಗಿ ಇಂಟರ್ನ್ಯಾಷನಲ್ ಕಾಂಪೊನೆಂಟ್‌ಗಳು) ನಲ್ಲಿ ಪೂರ್ಣಾಂಕದ ಓವರ್‌ಫ್ಲೋ ಆಗಿದೆ.
    • CVE-2020-11080 - HTTP/100 ಮೂಲಕ ಸಂಪರ್ಕಿಸುವಾಗ ದೊಡ್ಡ "ಸೆಟ್ಟಿಂಗ್" ಫ್ರೇಮ್‌ಗಳ ಪ್ರಸರಣದ ಮೂಲಕ ಸೇವೆಯ ನಿರಾಕರಣೆಯನ್ನು (2% CPU ಲೋಡ್) ಅನುಮತಿಸುತ್ತದೆ.
  • ದುರ್ಬಲತೆ ಗ್ರಾಫನಾ ಇಂಟರ್ಯಾಕ್ಟಿವ್ ಮೆಟ್ರಿಕ್ಸ್ ದೃಶ್ಯೀಕರಣ ವೇದಿಕೆಯಲ್ಲಿ, ವಿವಿಧ ಡೇಟಾ ಮೂಲಗಳ ಆಧಾರದ ಮೇಲೆ ದೃಶ್ಯ ಮಾನಿಟರಿಂಗ್ ಗ್ರಾಫ್‌ಗಳನ್ನು ನಿರ್ಮಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಅವತಾರಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ಕೋಡ್‌ನಲ್ಲಿನ ದೋಷವು ದೃಢೀಕರಣವನ್ನು ರವಾನಿಸದೆಯೇ ಯಾವುದೇ URL ಗೆ ಗ್ರಾಫಾನಾದಿಂದ HTTP ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಲು ಪ್ರಾರಂಭಿಸಲು ಮತ್ತು ಈ ವಿನಂತಿಯ ಫಲಿತಾಂಶವನ್ನು ನೋಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಈ ವೈಶಿಷ್ಟ್ಯವನ್ನು ಬಳಸಬಹುದು, ಉದಾಹರಣೆಗೆ, ಗ್ರಾಫಾನಾವನ್ನು ಬಳಸುವ ಕಂಪನಿಗಳ ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಅಧ್ಯಯನ ಮಾಡಲು. ಸಮಸ್ಯೆ ನಿವಾರಿಸಲಾಗಿದೆ ಸಮಸ್ಯೆಗಳಲ್ಲಿ
    ಗ್ರಾಫನಾ 6.7.4 ಮತ್ತು 7.0.2. ಸುರಕ್ಷತಾ ಪರಿಹಾರವಾಗಿ, ಗ್ರಾಫನಾ ಚಾಲನೆಯಲ್ಲಿರುವ ಸರ್ವರ್‌ನಲ್ಲಿ URL “/avatar/*” ಗೆ ಪ್ರವೇಶವನ್ನು ನಿರ್ಬಂಧಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ.

  • ಪ್ರಕಟಿಸಲಾಗಿದೆ 34 ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸುವ Android ಗಾಗಿ ಜೂನ್ ಸೆಟ್ ಭದ್ರತಾ ಪರಿಹಾರಗಳು. ನಾಲ್ಕು ಸಮಸ್ಯೆಗಳನ್ನು ನಿರ್ಣಾಯಕ ತೀವ್ರತೆಯ ಮಟ್ಟವನ್ನು ನಿಯೋಜಿಸಲಾಗಿದೆ: ಸ್ವಾಮ್ಯದ ಕ್ವಾಲ್ಕಾಮ್ ಘಟಕಗಳಲ್ಲಿ ಎರಡು ದುರ್ಬಲತೆಗಳು (CVE-2019-14073, CVE-2019-14080) ಮತ್ತು ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಬಾಹ್ಯ ಡೇಟಾವನ್ನು (CVE-2020) ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್‌ನಲ್ಲಿ -0117 - ಪೂರ್ಣಾಂಕ ಉಕ್ಕಿ ಹರಿಯುತ್ತದೆ ಬ್ಲೂಟೂತ್ ಸ್ಟಾಕ್‌ನಲ್ಲಿ, CVE-2020-8597 - Pppd ನಲ್ಲಿ EAP ಓವರ್‌ಫ್ಲೋ).

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ