QEMU, Node.js, Grafana 및 Android의 위험한 취약점

최근에 확인된 몇 가지 취약점:

• 취약점 (CVE-2020-13765) QEMU에서 이로 인해 사용자 지정 커널 이미지가 게스트에 로드될 때 호스트 측에서 QEMU 프로세스 권한으로 코드가 실행될 가능성이 있습니다. 이 문제는 시스템 부팅 중 ROM 복사 코드의 버퍼 오버플로로 인해 발생하며 32비트 커널 이미지의 내용이 메모리에 로드될 때 발생합니다. 수정 사항은 현재 다음 형식으로만 제공됩니다. 반점.
• 네 가지 취약점 Node.js에서. 취약점 제거 릴리스 14.4.0, 10.21.0 및 12.18.0.
  • CVE-2020-8172 - TLS 세션을 재사용할 때 호스트 인증서 확인을 우회할 수 있습니다.
  • CVE-2020-8174 - 특정 호출 중에 발생하는 napi_get_value_string_*() 함수의 버퍼 오버플로로 인해 잠재적으로 시스템에서 코드 실행을 허용합니다. N-API (네이티브 애드온 작성을 위한 C API)
  • CVE-2020-10531은 UnicodeString::doAppend() 함수를 사용할 때 버퍼 오버플로로 이어질 수 있는 C/C++용 ICU(International Components for Unicode)의 정수 오버플로입니다.
  • CVE-2020-11080 - HTTP/100를 통해 연결할 때 대규모 "SETTINGS" 프레임 전송을 통해 서비스 거부(2% CPU 로드)를 허용합니다.
• 취약점 다양한 데이터 소스를 기반으로 시각적 모니터링 그래프를 구축하는 데 사용되는 Grafana 대화형 메트릭 시각화 플랫폼에서. 아바타 작업을 위한 코드 오류로 인해 인증을 통과하지 않고 Grafana에서 어떤 URL로든 HTTP 요청 전송을 시작하고 이 요청의 결과를 볼 수 있습니다. 이 기능은 예를 들어 Grafana를 사용하는 회사의 내부 네트워크를 연구하는 데 사용할 수 있습니다. 문제 제거 문제가 있는
  그라파나 6.7.4 및 7.0.2. 보안 해결 방법으로 Grafana를 실행하는 서버에서 "/avatar/*" URL에 대한 액세스를 제한하는 것이 좋습니다.

• 게시 됨 34개의 취약점을 수정하는 Android용 2019월 보안 수정 세트입니다. 14073가지 문제에 심각한 심각도 수준이 지정되었습니다. Qualcomm 독점 구성 요소의 취약점 2019개(CVE-14080-2020, CVE-0117-XNUMX)와 특별히 설계된 외부 데이터를 처리할 때 코드 실행을 허용하는 시스템의 취약점 XNUMX개(CVE-XNUMX) -XNUMX - 정수 과다 블루투스 스택에서 CVE-2020-8597 - pppd의 EAP 오버플로).

출처 : opennet.ru