рдкреНрд░реЛрд╣реЛрд╕реНрдЯрд░ > ╨С╨╗╨╛╨│ > рдЗрдВрдЯрд░рдиреЗрдЯ рдмрд╛рддрдореНрдпрд╛ > QEMU, Node.js, Grafana рдЖрдгрд┐ Android рдордзреАрд▓ рдзреЛрдХрд╛рджрд╛рдпрдХ рднреЗрджреНрдпрддрд╛

QEMU, Node.js, Grafana рдЖрдгрд┐ Android рдордзреАрд▓ рдзреЛрдХрд╛рджрд╛рдпрдХ рднреЗрджреНрдпрддрд╛

рдЕрд▓реАрдХрдбреЗ рдУрд│рдЦрд▓реНрдпрд╛ рдЧреЗрд▓реЗрд▓реНрдпрд╛ рдЕрдиреЗрдХ рдЕрд╕реБрд░рдХреНрд╖рд╛:

  • рдЕрд╕реБрд░рдХреНрд╖рд┐рддрддрд╛ (рд╕реАрд╡реНрд╣реАрдИ- 2020-13765) QEMU рдордзреНтАНрдпреЗ, рдЬреЗ рдЕрддрд┐рдереАрдордзреНтАНрдпреЗ рд╕рд╛рдиреБрдХреВрд▓ рдХрд░реНрдирд▓ рдкреНрд░рддрд┐рдорд╛ рд▓реЛрдб рдХреЗрд▓реНтАНрдпрд╛рд╡рд░ рдпрдЬрдорд╛рди рдмрд╛рдЬреВрд╡рд░ QEMU рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░рд╛рдВрд╕рд╣ рдХреЛрдб рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рд╣реЛрдгреНтАНрдпрд╛рд╕ рдХрд╛рд░рдгреАрднреВрдд рдард░реВ рд╢рдХрддреЗ. рд╕рд┐рд╕реНрдЯрдо рдмреВрдЯ рджрд░рдореНрдпрд╛рди ROM рдХреЙрдкреА рдХреЛрдбрдордзреАрд▓ рдмрдлрд░ рдУрд╡реНрд╣рд░рдлреНрд▓реЛрдореБрд│реЗ рд╕рдорд╕реНрдпрд╛ рдЙрджреНрднрд╡рддреЗ рдЖрдгрд┐ рдЬреЗрд╡реНрд╣рд╛ 32-рдмрд┐рдЯ рдХрд░реНрдирд▓ рдЗрдореЗрдЬрдЪреА рд╕рд╛рдордЧреНрд░реА рдореЗрдорд░реАрдордзреНрдпреЗ рд▓реЛрдб рдХреЗрд▓реА рдЬрд╛рддреЗ рддреЗрд╡реНрд╣рд╛ рдЙрджреНрднрд╡рддреЗ. рдирд┐рд░рд╛рдХрд░рдг рд╕рдзреНрдпрд╛ рдлрдХреНрдд рдлреЙрд░реНрдордордзреНрдпреЗ рдЙрдкрд▓рдмреНрдз рдЖрд╣реЗ рдкреЕрдЪ.
  • рдЪрд╛рд░ рдЕрд╕реБрд░рдХреНрд╖рд╛ Node.js рдордзреНрдпреЗ. рднреЗрджреНрдпрддрд╛ рдХрд╛рдвреВрди рдЯрд╛рдХрд▓реЗ рд░рд┐рд▓реАрдЭ 14.4.0, 10.21.0 рдЖрдгрд┐ 12.18.0 рдордзреНрдпреЗ.
    • CVE-2020-8172 - TLS рд╕рддреНрд░рд╛рдЪрд╛ рдкреБрдирд░реНрд╡рд╛рдкрд░ рдХрд░рддрд╛рдирд╛ рд╣реЛрд╕реНрдЯ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдкрдбрддрд╛рд│рдгреАрд▓рд╛ рдмрд╛рдпрдкрд╛рд╕ рдХрд░рдгреНрдпрд╛рдЪреА рдЕрдиреБрдорддреА рджреЗрддреЗ.
    • CVE-2020-8174 - napi_get_value_string_*() рдлрдВрдХреНрд╢рдиреНрд╕рдордзреАрд▓ рдмрдлрд░ рдУрд╡реНрд╣рд░рдлреНрд▓реЛрдореБрд│реЗ рд╕рд┐рд╕реНрдЯреАрдорд╡рд░ рдХреЛрдб рдЕрдВрдорд▓рд╛рдд рдЖрдгрдгреНрдпрд╛рдЪреА рдкрд░рд╡рд╛рдирдЧреА рджреЗрддреЗ рдЬреЗ рдХрд╛рд╣реА рд╡рд┐рд╢рд┐рд╖реНрдЯ рдХреЙрд▓ рджрд░рдореНрдпрд╛рди рд╣реЛрддреЗ рдПрди-рдПрдкреАрдЖрдп (рдиреЗрдЯрд┐рд╡реНрд╣ рдЕреЕрдб-рдСрди рд▓рд┐рд╣рд┐рдгреНрдпрд╛рд╕рд╛рдареА C API).
    • CVE-2020-10531 рд╣рд╛ C/C++ рд╕рд╛рдареА ICU (рдпреБрдирд┐рдХреЛрдбрд╕рд╛рдареА рдЖрдВрддрд░рд░рд╛рд╖реНрдЯреНрд░реАрдп рдШрдЯрдХ) рдордзреНрдпреЗ рдкреВрд░реНрдгрд╛рдВрдХ рдУрд╡реНрд╣рд░рдлреНрд▓реЛ рдЖрд╣реЗ рдЬреНрдпрд╛рдореБрд│реЗ UnicodeString::doAppend() рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░рддрд╛рдирд╛ рдмрдлрд░ рдУрд╡реНрд╣рд░рдлреНрд▓реЛ рд╣реЛрдК рд╢рдХрддреЛ.
    • CVE-2020-11080 - HTTP/100 рджреНрд╡рд╛рд░реЗ рдХрдиреЗрдХреНрдЯ рдХрд░рддрд╛рдирд╛ рдореЛрдареНрдпрд╛ "рд╕реЗрдЯрд┐рдВрдЧреНрдЬ" рдлреНрд░реЗрдореНрд╕рдЪреНрдпрд╛ рдкреНрд░рд╕рд╛рд░рдгрд╛рджреНрд╡рд╛рд░реЗ рд╕реЗрд╡рд╛ рдирд╛рдХрд╛рд░рдгреНрдпрд╛рдЪреА (2% CPU рд▓реЛрдб) рдкрд░рд╡рд╛рдирдЧреА рджреЗрддреЗ.
  • рдЕрд╕реБрд░рдХреНрд╖рд┐рддрддрд╛ Grafana рдЗрдВрдЯрд░рдПрдХреНрдЯрд┐рд╡реНрд╣ рдореЗрдЯреНрд░рд┐рдХреНрд╕ рд╡реНрд╣рд┐рдЬреНрдпреБрдЕрд▓рд╛рдпрдЭреЗрд╢рди рдкреНрд▓реЕрдЯрдлреЙрд░реНрдордордзреНрдпреЗ, рд╡рд┐рд╡рд┐рдз рдбреЗрдЯрд╛ рд╕реНрд░реЛрддрд╛рдВрд╡рд░ рдЖрдзрд╛рд░рд┐рдд рд╡реНрд╣рд┐рдЬреНрдпреБрдЕрд▓ рдореЙрдирд┐рдЯрд░рд┐рдВрдЧ рдЖрд▓реЗрдЦ рддрдпрд╛рд░ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд╡рд╛рдкрд░рд▓рд╛ рдЬрд╛рддреЛ. рдЕрд╡рддрд╛рд░рд╛рдВрд╕рд╣ рдХрд╛рд░реНрдп рдХрд░рдгреНрдпрд╛рдЪреНрдпрд╛ рдХреЛрдбрдордзреАрд▓ рддреНрд░реБрдЯреАрдореБрд│реЗ рддреБрдореНрд╣рд╛рд▓рд╛ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдкрд╛рд╕ рдХреЗрд▓реНрдпрд╛рд╢рд┐рд╡рд╛рдп Grafana рдХрдбреВрди HTTP рд╡рд┐рдирдВрддреА рдкрд╛рдард╡рдгреЗ рд╕реБрд░реВ рдХрд░рддрд╛ рдпреЗрдИрд▓ рдЖрдгрд┐ рдпрд╛ рд╡рд┐рдирдВрддреАрдЪрд╛ рдкрд░рд┐рдгрд╛рдо рдкрд╣рд╛. рд╣реЗ рд╡реИрд╢рд┐рд╖реНрдЯреНрдп рд╡рд╛рдкрд░рд▓реЗ рдЬрд╛рдК рд╢рдХрддреЗ, рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, Grafana рд╡рд╛рдкрд░реВрди рдХрдВрдкрдиреНрдпрд╛рдВрдЪреНрдпрд╛ рдЕрдВрддрд░реНрдЧрдд рдиреЗрдЯрд╡рд░реНрдХрдЪрд╛ рдЕрднреНрдпрд╛рд╕ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА. рд╕рдорд╕реНрдпрд╛ рдХрд╛рдвреВрди рдЯрд╛рдХрд▓реЗ рд╕рдорд╕реНрдпрд╛рдВрдордзреНрдпреЗ
    рдЧреНрд░рд╛рдлрд╛рдирд╛ рем.рен.рек рдЖрдгрд┐ рен.реж.реи. рд╕реБрд░рдХреНрд╖рд╛ рдЙрдкрд╛рдп рдореНрд╣рдгреВрди, Grafana рдЪрд╛рд▓рд╡рдгрд╛рд░реНтАНрдпрд╛ рд╕рд░реНрд╡реНрд╣рд░рд╡рд░реАрд▓ URL тАЬ/avatar/*тАЭ рд╡рд░ рдкреНрд░рд╡реЗрд╢ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рдХрд░рдгреНрдпрд╛рдЪреА рд╢рд┐рдлрд╛рд░рд╕ рдХреЗрд▓реА рдЬрд╛рддреЗ.

  • рдкреНрд░рдХрд╛рд╢рд┐рдд Android рд╕рд╛рдареА рд╕реБрд░рдХреНрд╖рд╛ рдирд┐рд░рд╛рдХрд░рдгрд╛рдЪрд╛ рдЬреВрди рд╕рдВрдЪ, рдЬреЛ 34 рднреЗрджреНрдпрддрд╛ рдирд┐рд╢реНрдЪрд┐рдд рдХрд░рддреЛ. рдЪрд╛рд░ рд╕рдорд╕реНрдпрд╛рдВрдирд╛ рдЧрдВрднреАрд░ рддреАрд╡реНрд░рддрд╛ рд╕реНрддрд░ рдирд┐рдпреБрдХреНрдд рдХреЗрд▓рд╛ рдЖрд╣реЗ: рджреЛрди рднреЗрджреНрдпрддрд╛ (CVE-2019-14073, CVE-2019-14080) рдорд╛рд▓рдХреАрдЪреНрдпрд╛ рдХреНрд╡рд╛рд▓рдХреЙрдо рдШрдЯрдХрд╛рдВрдордзреНрдпреЗ) рдЖрдгрд┐ рд╕рд┐рд╕реНрдЯрдордордзреАрд▓ рджреЛрди рднреЗрджреНрдпрддрд╛ рдЬреНрдпрд╛ рд╡рд┐рд╢реЗрд╖рдд: рдбрд┐рдЭрд╛рдЗрди рдХреЗрд▓реЗрд▓реНрдпрд╛ рдмрд╛рд╣реНрдп рдбреЗрдЯрд╛рд╡рд░ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХрд░рддрд╛рдирд╛ рдХреЛрдб рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХрд░рдгреНрдпрд╛рд╕ рдкрд░рд╡рд╛рдирдЧреА рджреЗрддрд╛рдд. -2020 - рдкреВрд░реНрдгрд╛рдВрдХ рдУрд╡реНрд╣рд░рдлреНрд▓реЛ рдмреНрд▓реВрдЯреВрде рд╕реНрдЯреЕрдХрдордзреНрдпреЗ, CVE-2020-8597 - pppd рдордзреНрдпреЗ EAP рдУрд╡реНрд╣рд░рдлреНрд▓реЛ).

рд╕реНрддреНрд░реЛрдд: opennet.ru

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдЬреЛрдбрд╛