์ต๊ทผ์ ํ์ธ๋ ๋ช ๊ฐ์ง ์ทจ์ฝ์ :
-
์ทจ์ฝ์ (CVE-2020-13765 ) QEMU์์ ์ด๋ก ์ธํด ์ฌ์ฉ์ ์ง์ ์ปค๋ ์ด๋ฏธ์ง๊ฐ ๊ฒ์คํธ์ ๋ก๋๋ ๋ ํธ์คํธ ์ธก์์ QEMU ํ๋ก์ธ์ค ๊ถํ์ผ๋ก ์ฝ๋๊ฐ ์คํ๋ ๊ฐ๋ฅ์ฑ์ด ์์ต๋๋ค. ์ด ๋ฌธ์ ๋ ์์คํ ๋ถํ ์ค ROM ๋ณต์ฌ ์ฝ๋์ ๋ฒํผ ์ค๋ฒํ๋ก๋ก ์ธํด ๋ฐ์ํ๋ฉฐ 32๋นํธ ์ปค๋ ์ด๋ฏธ์ง์ ๋ด์ฉ์ด ๋ฉ๋ชจ๋ฆฌ์ ๋ก๋๋ ๋ ๋ฐ์ํฉ๋๋ค. ์์ ์ฌํญ์ ํ์ฌ ๋ค์ ํ์์ผ๋ก๋ง ์ ๊ณต๋ฉ๋๋ค.๋ฐ์ . -
๋ค ๊ฐ์ง ์ทจ์ฝ์ Node.js์์. ์ทจ์ฝ์ ์ ๊ฑฐ ๋ฆด๋ฆฌ์ค 14.4.0, 10.21.0 ๋ฐ 12.18.0.- CVE-2020-8172 - TLS ์ธ์ ์ ์ฌ์ฌ์ฉํ ๋ ํธ์คํธ ์ธ์ฆ์ ํ์ธ์ ์ฐํํ ์ ์์ต๋๋ค.
- CVE-2020-8174 - ํน์ ํธ์ถ ์ค์ ๋ฐ์ํ๋ napi_get_value_string_*() ํจ์์ ๋ฒํผ ์ค๋ฒํ๋ก๋ก ์ธํด ์ ์ฌ์ ์ผ๋ก ์์คํ
์์ ์ฝ๋ ์คํ์ ํ์ฉํฉ๋๋ค.
N-API (๋ค์ดํฐ๋ธ ์ ๋์จ ์์ฑ์ ์ํ C API) - CVE-2020-10531์ UnicodeString::doAppend() ํจ์๋ฅผ ์ฌ์ฉํ ๋ ๋ฒํผ ์ค๋ฒํ๋ก๋ก ์ด์ด์ง ์ ์๋ C/C++์ฉ ICU(International Components for Unicode)์ ์ ์ ์ค๋ฒํ๋ก์ ๋๋ค.
- CVE-2020-11080 - HTTP/100๋ฅผ ํตํด ์ฐ๊ฒฐํ ๋ ๋๊ท๋ชจ "SETTINGS" ํ๋ ์ ์ ์ก์ ํตํด ์๋น์ค ๊ฑฐ๋ถ(2% CPU ๋ก๋)๋ฅผ ํ์ฉํฉ๋๋ค.
-
์ทจ์ฝ์ ๋ค์ํ ๋ฐ์ดํฐ ์์ค๋ฅผ ๊ธฐ๋ฐ์ผ๋ก ์๊ฐ์ ๋ชจ๋ํฐ๋ง ๊ทธ๋ํ๋ฅผ ๊ตฌ์ถํ๋ ๋ฐ ์ฌ์ฉ๋๋ Grafana ๋ํํ ๋ฉํธ๋ฆญ ์๊ฐํ ํ๋ซํผ์์. ์๋ฐํ ์์ ์ ์ํ ์ฝ๋ ์ค๋ฅ๋ก ์ธํด ์ธ์ฆ์ ํต๊ณผํ์ง ์๊ณ Grafana์์ ์ด๋ค URL๋ก๋ HTTP ์์ฒญ ์ ์ก์ ์์ํ๊ณ ์ด ์์ฒญ์ ๊ฒฐ๊ณผ๋ฅผ ๋ณผ ์ ์์ต๋๋ค. ์ด ๊ธฐ๋ฅ์ ์๋ฅผ ๋ค์ด Grafana๋ฅผ ์ฌ์ฉํ๋ ํ์ฌ์ ๋ด๋ถ ๋คํธ์ํฌ๋ฅผ ์ฐ๊ตฌํ๋ ๋ฐ ์ฌ์ฉํ ์ ์์ต๋๋ค. ๋ฌธ์ ์ ๊ฑฐ ๋ฌธ์ ๊ฐ ์๋
๊ทธ๋ผํ๋ 6.7.4 ๋ฐ 7.0.2. ๋ณด์ ํด๊ฒฐ ๋ฐฉ๋ฒ์ผ๋ก Grafana๋ฅผ ์คํํ๋ ์๋ฒ์์ "/avatar/*" URL์ ๋ํ ์ก์ธ์ค๋ฅผ ์ ํํ๋ ๊ฒ์ด ์ข์ต๋๋ค. -
๊ฒ์ ๋จ 34๊ฐ์ ์ทจ์ฝ์ ์ ์์ ํ๋ Android์ฉ 2019์ ๋ณด์ ์์ ์ธํธ์ ๋๋ค. 14073๊ฐ์ง ๋ฌธ์ ์ ์ฌ๊ฐํ ์ฌ๊ฐ๋ ์์ค์ด ์ง์ ๋์์ต๋๋ค. Qualcomm ๋ ์ ๊ตฌ์ฑ ์์์ ์ทจ์ฝ์ 2019๊ฐ(CVE-14080-2020, CVE-0117-XNUMX)์ ํน๋ณํ ์ค๊ณ๋ ์ธ๋ถ ๋ฐ์ดํฐ๋ฅผ ์ฒ๋ฆฌํ ๋ ์ฝ๋ ์คํ์ ํ์ฉํ๋ ์์คํ ์ ์ทจ์ฝ์ XNUMX๊ฐ(CVE-XNUMX) -XNUMX - ์ ์๊ณผ๋ค ๋ธ๋ฃจํฌ์ค ์คํ์์CVE-2020-8597 - pppd์ EAP ์ค๋ฒํ๋ก ).
์ถ์ฒ : opennet.ru