Vairākas nesen konstatētas ievainojamības:
- (). Problēmu izraisa bufera pārpilde ROM kopēšanas kodā sistēmas sāknēšanas laikā, un tā rodas, kad atmiņā tiek ielādēts 32 bitu kodola attēla saturs. Labojums pašlaik ir pieejams tikai formā .
- vietnē Node.js. Ievainojamības laidienos 14.4.0, 10.21.0 un 12.18.0.
- CVE-2020-8172 — ļauj apiet saimniekdatora sertifikāta verifikāciju, atkārtoti izmantojot TLS sesiju.
- CVE-2020-8174 — potenciāli pieļauj koda izpildi sistēmā, jo funkcijās napi_get_value_string_*() notiek bufera pārpilde, kas notiek noteiktu izsaukumu laikā (C API vietējo pievienojumprogrammu rakstīšanai).
- CVE-2020-10531 ir veselu skaitļu pārpilde ICU (International Components for Unicode) C/C++, kas var izraisīt bufera pārpildīšanu, izmantojot funkciju UnicodeString::doAppend().
- CVE-2020-11080 - ļauj atteikt pakalpojumu (100% CPU slodze), pārsūtot lielus "SETTINGS" kadrus, kad tiek izveidots savienojums, izmantojot HTTP/2.
- Grafana interaktīvajā metrikas vizualizācijas platformā, ko izmanto, lai izveidotu vizuālas uzraudzības grafikus, pamatojoties uz dažādiem datu avotiem. Kļūda kodā darbam ar iemiesojumiem ļauj sākt HTTP pieprasījuma nosūtīšanu no Grafana uz jebkuru URL, nenododot autentifikāciju, un redzēt šī pieprasījuma rezultātu. Šo funkciju var izmantot, piemēram, lai izpētītu Grafana izmantojošo uzņēmumu iekšējo tīklu. Problēma jautājumos
Grafana 6.7.4 un 7.0.2. Kā drošības risinājums ir ieteicams ierobežot piekļuvi vietrādim URL “/avatar/*” serverī, kurā darbojas Grafana. - Jūnija drošības labojumu komplekts operētājsistēmai Android, kas novērš 34 ievainojamības. Četrām problēmām ir piešķirts kritisks smaguma līmenis: divas ievainojamības (CVE-2019-14073, CVE-2019-14080) patentētajos Qualcomm komponentos un divas sistēmas ievainojamības, kas ļauj izpildīt kodu, apstrādājot īpaši izstrādātus ārējos datus (CVE-2020). -0117 - vesels skaitlis Bluetooth kaudzē, ).
Avots: opennet.ru