ProHoster > Blog > berita internet > Kerentanan berbahaya dalam QEMU, Node.js, Grafana dan Android

Kerentanan berbahaya dalam QEMU, Node.js, Grafana dan Android

Beberapa kelemahan yang dikenal pasti baru-baru ini:

  • Kerentanan (CVE-2020 13765-) dalam QEMU, yang berpotensi menyebabkan kod dilaksanakan dengan keistimewaan proses QEMU pada bahagian hos apabila imej kernel tersuai dimuatkan ke dalam tetamu. Masalahnya disebabkan oleh limpahan penimbal dalam kod salinan ROM semasa but sistem dan berlaku apabila kandungan imej kernel 32-bit dimuatkan ke dalam memori. Pembetulan pada masa ini hanya tersedia dalam borang tampalan.
  • Empat kelemahan dalam Node.js. Kelemahan dihapuskan dalam keluaran 14.4.0, 10.21.0 dan 12.18.0.
    • CVE-2020-8172 - Membenarkan pengesahan sijil hos dipintas apabila menggunakan semula sesi TLS.
    • CVE-2020-8174 - Berkemungkinan membenarkan pelaksanaan kod pada sistem disebabkan limpahan penimbal dalam fungsi napi_get_value_string_*() yang berlaku semasa panggilan tertentu ke N-API (C API untuk menulis alat tambah asli).
    • CVE-2020-10531 ialah limpahan integer dalam ICU (Komponen Antarabangsa untuk Unicode) untuk C/C++ yang boleh membawa kepada limpahan penimbal apabila menggunakan fungsi UnicodeString::doAppend().
    • CVE-2020-11080 - membenarkan penafian perkhidmatan (100% beban CPU) melalui penghantaran bingkai besar "SETTINGS" apabila menyambung melalui HTTP/2.
  • Kerentanan dalam platform visualisasi metrik interaktif Grafana, digunakan untuk membina graf pemantauan visual berdasarkan pelbagai sumber data. Ralat dalam kod untuk bekerja dengan avatar membolehkan anda memulakan penghantaran permintaan HTTP daripada Grafana ke mana-mana URL tanpa lulus pengesahan dan melihat hasil permintaan ini. Ciri ini boleh digunakan, sebagai contoh, untuk mengkaji rangkaian dalaman syarikat yang menggunakan Grafana. Masalah dihapuskan dalam isu
    Grafana 6.7.4 dan 7.0.2. Sebagai penyelesaian keselamatan, adalah disyorkan untuk menyekat akses kepada URL β€œ/avatar/*” pada pelayan yang menjalankan Grafana.

  • diterbitkan Set pembetulan keselamatan bulan Jun untuk Android, yang membetulkan 34 kelemahan. Empat isu telah diberikan tahap keterukan kritikal: dua kelemahan (CVE-2019-14073, CVE-2019-14080) dalam komponen Qualcomm proprietari) dan dua kelemahan dalam sistem yang membenarkan pelaksanaan kod semasa memproses data luaran yang direka khas (CVE-2020). -0117 - integer melimpah dalam timbunan Bluetooth, CVE-2020-8597 - Limpahan EAP dalam pppd).

Sumber: opennet.ru

Tambah komen