ProHoster > Blog > nûçeyên înternetê > Xetereyên xeternak di QEMU, Node.js, Grafana û Android

Xetereyên xeternak di QEMU, Node.js, Grafana û Android

Gelek kêmasiyên vê dawiyê hatine nas kirin:

  • Qelsbûn (CVE-2020-13765) di QEMU de, ku dibe sedem ku kodek bi îmtiyazên pêvajoya QEMU li ser milê mêvandar were darve kirin dema ku wêneyek kernelê ya xwerû li mêvan tê barkirin. Pirsgirêk ji ber zêdebûnek tamponê di koda kopî ya ROM-ê de di dema bootkirina pergalê de çêdibe û dema ku naveroka wêneyek kernelê ya 32-bit di bîranînê de tê barkirin pêk tê. Rastkirin niha tenê di formê de heye pîne.
  • Çar qelsî li Node.js. Qelsiyên tasfiye kirin di weşanên 14.4.0, 10.21.0 û 12.18.0 de.
    • CVE-2020-8172 - Destûrê dide ku verastkirina sertîfîkaya mêvandar dema ku danişînek TLS-ê ji nû ve bikar tîne were derbas kirin.
    • CVE-2020-8174 - Bi potansiyel destûrê dide darvekirina kodê li ser pergalê ji ber zêdebûnek tamponê di fonksiyonên napi_get_value_string_*() de ku di dema hin bangan de pêk tê. N-API (C API ji bo nivîsandina pêvekên xwemalî).
    • CVE-2020-10531 di ICU (Pêkhateyên Navneteweyî yên ji bo Unicode) de ji bo C/C++ hejmarek tevhejmar e ku dema ku fonksiyona UnicodeString::doAppend() bikar tîne dikare bibe sedema zêdebûnek tamponê.
    • CVE-2020-11080 - destûr dide redkirina karûbarê (100% barkirina CPU) bi veguheztina çarçoveyên "SETTINGS" yên mezin dema ku bi HTTP/2 ve tê girêdan.
  • Qelsbûn di platforma dîtbarkirina metrîkên înteraktîf ên Grafana de, ku ji bo avakirina grafikên çavdêriya dîtbarî li ser bingeha çavkaniyên daneya cihêreng tê bikar anîn. Çewtiyek di kodê de ji bo xebata bi avataran re dihêle hûn dest bi şandina daxwazek HTTP ji Grafana ji her URL-yê re bêyî pejirandinê derbas bikin û encama vê daxwazê ​​bibînin. Ev taybetmendî dikare were bikar anîn, mînakî, ji bo lêkolîna tora navxweyî ya pargîdaniyên ku Grafana bikar tînin. Pirsegirêk tasfiye kirin di mijaran de
    Grafana 6.7.4 û 7.0.2. Wekî çareseriyek ewlehiyê, tê pêşniyar kirin ku meriv gihîştina URL-ya "/avatar/*" li ser servera ku Grafana dixebitîne sînordar bike.
  • weşandin Nîşeyên patchên ewlehiyê yên Hezîranê ji bo Android, ku tê de 34 lawazî hatin rastkirin. Çar pirsgirêkan asta giraniya krîtîk lê hat destnîşankirin: du lawazî (CVE-2019-14073, CVE-2019-14080) di pêkhateyên xwedan Qualcomm de) û du lawazî di pergalê de ku destûrê didin pêkanîna kodê dema ku daneyên derveyî yên bi taybetî hatine çêkirin têne pêvajokirin (CVE-2020-0117 - hejmarê tevahî seravgirtin di stoka Bluetooth de, CVE-2020-8597 - Zêdebûna EAP di pppd de).

Source: opennet.ru

Ji bo malperên bi parastina DDoS, serverên VPS VDS mêvandariya pêbawer bikirin 🔥 Hostinga malperê ya pêbawer bi parastina DDoS, serverên VPS VDS bikirin | ProHoster