ProHoster > Блог > интернет мэдээ > QEMU, Node.js, Grafana болон Android дээрх аюултай эмзэг байдал

QEMU, Node.js, Grafana болон Android дээрх аюултай эмзэг байдал

Саяхан тодорхойлсон хэд хэдэн эмзэг байдал:

  • Эмзэг байдал (CVE-2020-13765) нь QEMU-д байгаа бөгөөд энэ нь зочинд захиалгат цөмийн дүрс ачаалагдах үед хост талд QEMU процессын эрх бүхий кодыг гүйцэтгэхэд хүргэж болзошгүй. Асуудал нь системийг ачаалах үед ROM хуулбар кодын буфер хэт ихэссэнээс үүдэлтэй бөгөөд 32 битийн цөмийн зургийн агуулгыг санах ойд ачаалах үед үүсдэг. Засварыг одоогоор зөвхөн хэлбэрээр ашиглах боломжтой нөхөөс.
  • Дөрвөн эмзэг байдал Node.js дээр. Эмзэг байдал хасагдсан 14.4.0, 10.21.0, 12.18.0 хувилбаруудад.
    • CVE-2020-8172 - TLS сессийг дахин ашиглах үед хостын сертификатын баталгаажуулалтыг тойрч гарахыг зөвшөөрдөг.
    • CVE-2020-8174 - Тодорхой дуудлагын үед үүсдэг napi_get_value_string_*() функцийн буфер хэт ихэссэний улмаас систем дээр код гүйцэтгэхийг зөвшөөрөх боломжтой. N-API (Уугуул нэмэлтүүдийг бичихэд зориулсан C API).
    • CVE-2020-10531 нь UnicodeString::doAppend() функцийг ашиглах үед C/C++-д зориулсан ICU (International Components for Unicode)-д бүхэл тооны халилт юм.
    • CVE-2020-11080 - HTTP/100-ээр холбогдох үед том хэмжээний "SETTINGS" фрэймүүдийг дамжуулах замаар үйлчилгээ үзүүлэхээс татгалзах (2% CPU ачаалал) боломжийг олгодог.
  • Эмзэг байдал янз бүрийн мэдээллийн эх сурвалж дээр үндэслэн харааны мониторингийн графикийг бүтээхэд ашигладаг Grafana интерактив хэмжигдэхүүнийг дүрслэх платформд. Аватартай ажиллах кодонд гарсан алдаа нь баталгаажуулалт хийлгүйгээр Grafana-аас дурын URL руу HTTP хүсэлт илгээж, энэ хүсэлтийн үр дүнг харах боломжийг олгоно. Энэ функцийг жишээ нь Grafana ашигладаг компаниудын дотоод сүлжээг судлахад ашиглаж болно. Асуудал хасагдсан асуудалд
    Графана 6.7.4 ба 7.0.2. Аюулгүй байдлын асуудлыг шийдэхийн тулд Grafana-г ажиллуулж буй сервер дээрх "/avatar/*" URL руу хандах хандалтыг хязгаарлахыг зөвлөж байна.

  • Нийтэлсэн 34-р сард Android-д зориулсан аюулгүй байдлын засварын багц, 2019 сул талыг зассан. Дөрвөн асуудалд ноцтой байдлын зэрэглэл тогтоогдсон: хоёр эмзэг байдал (CVE-14073-2019, CVE-14080-2020) хувийн эзэмшлийн Qualcomm бүрэлдэхүүн хэсгүүд болон систем дэх хоёр эмзэг байдал нь тусгайлан боловсруулсан гадаад өгөгдлийг боловсруулах үед код гүйцэтгэх боломжийг олгодог (CVE-0117). -XNUMX - бүхэл тоо халих Bluetooth стек дотор, CVE-2020-8597 - Pppd дахь EAP халилт).

Эх сурвалж: opennet.ru

сэтгэгдэл нэмэх