ProHoster > Blog > интернет жаңылыктары > QEMU, Node.js, Grafana жана Androidдеги коркунучтуу алсыздыктар

QEMU, Node.js, Grafana жана Androidдеги коркунучтуу алсыздыктар

Жакында аныкталган бир нече алсыздыктар:

  • Аялуулук (CVE-2020-13765) QEMU ичинде, бул конокко ыңгайлаштырылган ядро ​​сүрөтү жүктөлгөндө хост тарабында QEMU процессинин артыкчылыктары менен коддун аткарылышына себеп болушу мүмкүн. Көйгөй системаны жүктөө учурунда ROM көчүрүү кодундагы буфердин толуп кетишинен келип чыгат жана 32 биттик ядро ​​сүрөтүнүн мазмуну эстутумга жүктөлгөндө пайда болот. Түзөтүү учурда формада гана жеткиликтүү жамаачы.
  • Төрт кемчилик Node.js ичинде. Аялуу жерлер жок кылынды 14.4.0, 10.21.0 жана 12.18.0 чыгарылыштарында.
    • CVE-2020-8172 - TLS сеансын кайра колдонууда хост сертификатын текшерүүнү айланып өтүүгө мүмкүндүк берет.
    • CVE-2020-8174 - Белгилүү бир чалуулар учурунда пайда болгон napi_get_value_string_*() функцияларында буфердин толуп кетишинен улам системада кодду аткарууга мүмкүн болушунча уруксат берет. N-API (Негизги кошумчаларды жазуу үчүн C API).
    • CVE-2020-10531 - C/C++ үчүн ICUдагы (Юникод үчүн эл аралык компоненттер) бүтүн сан толуп, UnicodeString::doAppend() функциясын колдонууда буфердин толуп кетишине алып келиши мүмкүн.
    • CVE-2020-11080 - HTTP/100 аркылуу туташууда чоң "SETTINGS" рамкаларын өткөрүү аркылуу тейлөөдөн баш тартууга (2% CPU жүгү) мүмкүндүк берет.
  • Аялуулук Grafana интерактивдүү метрика визуализация платформасында, ар кандай маалымат булактарынын негизинде визуалдык мониторинг графиктерин түзүү үчүн колдонулат. Аватарлар менен иштөө кодундагы ката Grafanaдан каалаган URL дарегине аутентификациядан өтпөстөн HTTP сурамын жөнөтүүнү баштоого жана бул сурамдын жыйынтыгын көрүүгө мүмкүндүк берет. Бул функцияны, мисалы, Grafana колдонгон компаниялардын ички тармагын изилдөө үчүн колдонсо болот. Көйгөй жок кылынды маселелерде
    Grafana 6.7.4 жана 7.0.2. Коопсуздукту чечүү үчүн, Grafana иштеткен серверде “/avatar/*” URL дарегине кирүү мүмкүнчүлүгүн чектөө сунушталат.

  • жарыяланган 34 кемчиликти оңдогон Android үчүн июнь айындагы коопсуздук оңдоолорунун топтому. Төрт маселеге критикалык даража ыйгарылган: эки алсыздык (CVE-2019-14073, CVE-2019-14080) проприетардык Qualcomm компоненттеринде жана системада атайын иштелип чыккан тышкы маалыматтарды (CVE-2020) иштетүүдө кодду аткарууга мүмкүндүк берген эки алсыздык. -0117 - бүтүн сан толуп кетүү Bluetooth стекинде, CVE-2020-8597 - Pppd ичинде EAP толуп).

Source: opennet.ru

Комментарий кошуу