ProHoster > ဘလော့ > အင်တာနက်သတင်း > QEMU၊ Node.js၊ Grafana နှင့် Android ရှိ အန္တရာယ်ရှိသော အားနည်းချက်များ

QEMU၊ Node.js၊ Grafana နှင့် Android ရှိ အန္တရာယ်ရှိသော အားနည်းချက်များ

မကြာသေးမီက သတ်မှတ်ထားသော အားနည်းချက်များစွာ-

  • အားနည်းချက် (CVE-2020-13765) QEMU တွင်၊ ဧည့်သည်တော်ထဲသို့ စိတ်ကြိုက် kernel ပုံတစ်ခုကို တင်လိုက်သောအခါတွင် host side ရှိ QEMU လုပ်ငန်းစဉ်ဆိုင်ရာအခွင့်ထူးများဖြင့် ကုဒ်ကိုလုပ်ဆောင်နိုင်စေနိုင်သည်။ ပြဿနာသည် စနစ်စတင်စဉ်အတွင်း ROM ၏ ကော်ပီကုဒ်တွင် ကြားခံကုဒ်များ ပြည့်လျှံနေခြင်းကြောင့်ဖြစ်ပြီး 32-bit kernel ရုပ်ပုံ၏ အကြောင်းအရာများကို မမ်မိုရီထဲသို့ ထည့်သွင်းသည့်အခါ ဖြစ်ပေါ်သည်။ ပြင်ဆင်မှုကို လက်ရှိတွင် ပုံစံဖြင့်သာ ရရှိနိုင်သည်။ ဖာထေးခြင်း။.
  • အားနည်းချက်လေးမျိုး Node.js တွင် အားနည်းချက်များ ဖယ်ထုတ်ထားသည်။ ထုတ်ဝေမှုများတွင် 14.4.0၊ 10.21.0 နှင့် 12.18.0။
    • CVE-2020-8172 - TLS စက်ရှင်ကို ပြန်လည်အသုံးပြုသည့်အခါ အိမ်ရှင်လက်မှတ်အတည်ပြုခြင်းကို ကျော်ဖြတ်ရန် ခွင့်ပြုသည်။
    • CVE-2020-8174 - အချို့သောခေါ်ဆိုမှုများအတွင်း ဖြစ်ပေါ်သည့် napi_get_value_string_*() လုပ်ဆောင်ချက်များတွင် ကြားခံပြည့်လျှံနေသောကြောင့် စနစ်ပေါ်တွင် ကုဒ်လုပ်ဆောင်မှုကို ခွင့်ပြုနိုင်သည် N-API (ဇာတိ အပိုပရိုဂရမ်များ ရေးသားရန်အတွက် C API)။
    • CVE-2020-10531 သည် UnicodeString::doAppend() လုပ်ဆောင်ချက်ကို အသုံးပြုသည့်အခါ ကြားခံအလျှံပယ်ဖြစ်စေနိုင်သော C/C++ အတွက် ICU (အပြည်ပြည်ဆိုင်ရာ ယူနီကုဒ်အတွက် အပြည်ပြည်ဆိုင်ရာ အစိတ်အပိုင်းများ) တွင် ကိန်းပြည့်လျှံနေပါသည်။
    • CVE-2020-11080 - HTTP/100 မှတစ်ဆင့် ချိတ်ဆက်သည့်အခါ ကြီးမားသော "SETTINGS" frames များကို ထုတ်လွှင့်ခြင်းဖြင့် ဝန်ဆောင်မှုကို ငြင်းပယ်ခြင်း (2% CPU load) ကို ခွင့်ပြုသည်။
  • အားနည်းချက် Grafana interactive metrics visualization platform တွင် ဒေတာရင်းမြစ်အမျိုးမျိုးကို အခြေခံ၍ အမြင်အာရုံစောင့်ကြည့်ဂရပ်ဖစ်များ တည်ဆောက်ရန် အသုံးပြုသည်။ avatars များနှင့်လုပ်ဆောင်ခြင်းအတွက် ကုဒ်အမှားတစ်ခုက သင်သည် စစ်မှန်ကြောင်းအထောက်အထားမပြဘဲ မည်သည့် URL သို့မဆို HTTP တောင်းဆိုချက်ကို ပေးပို့နိုင်ပြီး ဤတောင်းဆိုချက်၏ရလဒ်ကို ကြည့်ရှုနိုင်သည်။ ဥပမာအားဖြင့်၊ Grafana ကိုအသုံးပြုသည့်ကုမ္ပဏီများ၏အတွင်းပိုင်းကွန်ရက်ကိုလေ့လာရန် ဤအင်္ဂါရပ်ကိုသုံးနိုင်သည်။ ပြဿနာ ဖယ်ထုတ်ထားသည်။ ကိစ္စရပ်များအတွက်
    Grafana 6.7.4 နှင့် 7.0.2 ။ လုံခြုံရေးဖြေရှင်းချက်အနေဖြင့် Grafana လည်ပတ်သည့်ဆာဗာရှိ URL “/avatar/*” သို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်ရန် အကြံပြုထားသည်။

  • ထုတ်ဝေခဲ့သည်။ ဇွန်လတွင် အားနည်းချက် ၃၄ ခုကို ဖြေရှင်းပေးသည့် Android အတွက် လုံခြုံရေးပြင်ဆင်မှုများ အရေးပါသော ပြင်းထန်မှုအဆင့်တွင် ပြဿနာ လေးခုကို သတ်မှတ်ထားသည်- အားနည်းချက် နှစ်ခု (CVE-34-2019၊ CVE-14073-2019) ကို တစ်ဦးတည်းပိုင် Qualcomm အစိတ်အပိုင်းများ) နှင့် အထူးဒီဇိုင်းထုတ်ထားသော ပြင်ပဒေတာများကို လုပ်ဆောင်သည့်အခါ ကုဒ်လုပ်ဆောင်မှုကို ခွင့်ပြုသည့် စနစ်ရှိ အားနည်းချက်နှစ်ခု (CVE-14080 -2020 - ကိန်းပြည့် ပြည့်လျှံ Bluetooth stack ထဲမှာ၊ CVE-2020-8597 - ppd တွင် EAP ပြည့်လျှံသည်။).

source: opennet.ru

မှတ်ချက် Add