ProHoster > blog > internetnieuws > Gevaarlijke kwetsbaarheden in QEMU, Node.js, Grafana en Android

Gevaarlijke kwetsbaarheden in QEMU, Node.js, Grafana en Android

Verschillende recent geïdentificeerde kwetsbaarheden:

  • Kwetsbaarheid (CVE-2020-13765) in QEMU, wat er mogelijk voor kan zorgen dat code wordt uitgevoerd met QEMU-procesrechten aan de hostzijde wanneer een aangepast kernelimage in de gast wordt geladen. Het probleem wordt veroorzaakt door een bufferoverloop in de ROM-kopieercode tijdens het opstarten van het systeem en treedt op wanneer de inhoud van een 32-bits kernelimage in het geheugen wordt geladen. De oplossing is momenteel alleen beschikbaar in de vorm lapje.
  • Vier kwetsbaarheden in Node.js. Kwetsbaarheden geëlimineerd in releases 14.4.0, 10.21.0 en 12.18.0.
    • CVE-2020-8172 - Maakt het mogelijk om de verificatie van het hostcertificaat te omzeilen bij het hergebruiken van een TLS-sessie.
    • CVE-2020-8174 - Staat mogelijk code-uitvoering op het systeem toe vanwege een bufferoverloop in de napi_get_value_string_*()-functies die optreedt tijdens bepaalde aanroepen naar N-API (C API voor het schrijven van native add-ons).
    • CVE-2020-10531 is een overflow van gehele getallen in ICU (International Components for Unicode) voor C/C++ die kan leiden tot een bufferoverflow bij gebruik van de functie UnicodeString::doAppend().
    • CVE-2020-11080 - maakt Denial of Service (100% CPU-belasting) mogelijk via de overdracht van grote "INSTELLINGEN"-frames bij verbinding via HTTP/2.
  • Kwetsbaarheid in het Grafana interactieve visualisatieplatform voor statistieken, gebruikt om visuele monitoringgrafieken te bouwen op basis van verschillende gegevensbronnen. Door een fout in de code voor het werken met avatars kunt u het verzenden van een HTTP-verzoek van Grafana naar een willekeurige URL starten zonder de authenticatie door te geven en het resultaat van dit verzoek te bekijken. Deze functie kan bijvoorbeeld worden gebruikt om het interne netwerk van bedrijven die Grafana gebruiken te bestuderen. Probleem geëlimineerd bij problemen
    Grafana 6.7.4 en 7.0.2. Als beveiligingsoplossing wordt aanbevolen om de toegang tot de URL “/avatar/*” op de server waarop Grafana draait te beperken.

  • gepubliceerd Set beveiligingsoplossingen voor Android van juni, waarmee 34 kwetsbaarheden worden opgelost. Aan vier problemen is een kritiek ernstniveau toegekend: twee kwetsbaarheden (CVE-2019-14073, CVE-2019-14080) in bedrijfseigen Qualcomm-componenten) en twee kwetsbaarheden in het systeem die code-uitvoering mogelijk maken bij het verwerken van speciaal ontworpen externe gegevens (CVE-2020). -0117 - geheel getal overloop in de Bluetooth-stack, CVE-2020-8597 - EAP-overloop in pppd).

Bron: opennet.ru

Voeg een reactie