ProHoster > Blog > nûçeyên înternetê > Di QEMU, Node.js, Grafana û Android de qelsiyên xeternak

Di QEMU, Node.js, Grafana û Android de qelsiyên xeternak

Gelek kêmasiyên vê dawiyê hatine nas kirin:

  • Qelsbûn (CVE-2020-13765) di QEMU de, ku dibe sedem ku kodek bi îmtiyazên pêvajoya QEMU li ser milê mêvandar were darve kirin dema ku wêneyek kernelê ya xwerû li mêvan tê barkirin. Pirsgirêk ji ber zêdebûnek tamponê di koda kopî ya ROM-ê de di dema bootkirina pergalê de çêdibe û dema ku naveroka wêneyek kernelê ya 32-bit di bîranînê de tê barkirin pêk tê. Rastkirin niha tenê di formê de heye pîne.
  • Çar qelsî li Node.js. Qelsiyên tasfiye kirin di weşanên 14.4.0, 10.21.0 û 12.18.0 de.
    • CVE-2020-8172 - Destûrê dide ku verastkirina sertîfîkaya mêvandar dema ku danişînek TLS-ê ji nû ve bikar tîne were derbas kirin.
    • CVE-2020-8174 - Bi potansiyel destûrê dide darvekirina kodê li ser pergalê ji ber zêdebûnek tamponê di fonksiyonên napi_get_value_string_*() de ku di dema hin bangan de pêk tê. N-API (C API ji bo nivîsandina pêvekên xwemalî).
    • CVE-2020-10531 di ICU (Pêkhateyên Navneteweyî yên ji bo Unicode) de ji bo C/C++ hejmarek tevhejmar e ku dema ku fonksiyona UnicodeString::doAppend() bikar tîne dikare bibe sedema zêdebûnek tamponê.
    • CVE-2020-11080 - destûr dide redkirina karûbarê (100% barkirina CPU) bi veguheztina çarçoveyên "SETTINGS" yên mezin dema ku bi HTTP/2 ve tê girêdan.
  • Qelsbûn di platforma dîtbarkirina metrîkên înteraktîf ên Grafana de, ku ji bo avakirina grafikên çavdêriya dîtbarî li ser bingeha çavkaniyên daneya cihêreng tê bikar anîn. Çewtiyek di kodê de ji bo xebata bi avataran re dihêle hûn dest bi şandina daxwazek HTTP ji Grafana ji her URL-yê re bêyî pejirandinê derbas bikin û encama vê daxwazê ​​bibînin. Ev taybetmendî dikare were bikar anîn, mînakî, ji bo lêkolîna tora navxweyî ya pargîdaniyên ku Grafana bikar tînin. Pirsegirêk tasfiye kirin di mijaran de
    Grafana 6.7.4 û 7.0.2. Wekî çareseriyek ewlehiyê, tê pêşniyar kirin ku meriv gihîştina URL-ya "/avatar/*" li ser servera ku Grafana dixebitîne sînordar bike.

  • weşandin Koma Hezîranê ya rastkirinên ewlehiyê ji bo Android-ê, ku 34 qelsiyan rast dike. Çar pirsgirêk astek giraniya krîtîk hatine destnîşankirin: du qelsî (CVE-2019-14073, CVE-2019-14080) di hêmanên xwedan Qualcomm de) û du qelsî di pergalê de ku destûrê dide darvekirina kodê dema ku daneyên derveyî yên taybetî hatine sêwirandin (CVE-2020). -0117 - yekjimar seravgirtin di stoka Bluetooth de, CVE-2020-8597 - Zêdebûna EAP di pppd de).

Source: opennet.ru

Add a comment