Flere nylig identifiserte sårbarheter:
- () i QEMU, noe som potensielt kan føre til at kode kjøres med QEMU-prosessprivilegier på vertssiden når et tilpasset kjernebilde lastes inn i gjesten. Problemet er forårsaket av bufferoverløp i ROM-kopikoden under systemoppstart og oppstår når innholdet i et 32-bits kjernebilde lastes inn i minnet. Rettelsen er foreløpig bare tilgjengelig i skjemaet .
- i Node.js. Sårbarheter i utgivelser 14.4.0, 10.21.0 og 12.18.0.
- CVE-2020-8172 – Lar verifisering av vertssertifikater omgås ved gjenbruk av en TLS-økt.
- CVE-2020-8174 - tillater potensielt kodekjøring på systemet på grunn av bufferoverløp i napi_get_value_string_*()-funksjonene som oppstår under visse anrop til (C API for å skrive innfødte tillegg).
- CVE-2020-10531 er et heltallsoverløp i ICU (International Components for Unicode) for C/C++ som kan føre til bufferoverflyt ved bruk av UnicodeString::doAppend()-funksjonen.
- CVE-2020-11080 - tillater tjenestenekt (100 % CPU-belastning) via overføring av store "SETTINGS"-rammer ved tilkobling via HTTP/2.
- i Grafanas interaktive metrikkvisualiseringsplattform, brukt til å bygge visuelle overvåkingsgrafer basert på ulike datakilder. En feil i koden for å jobbe med avatarer lar deg starte å sende en HTTP-forespørsel fra Grafana til en hvilken som helst URL uten å sende autentisering og se resultatet av denne forespørselen. Denne funksjonen kan for eksempel brukes til å studere det interne nettverket til bedrifter som bruker Grafana. Problem i saker
Grafana 6.7.4 og 7.0.2. Som en sikkerhetsløsning anbefales det å begrense tilgangen til URL-en "/avatar/*" på serveren som kjører Grafana. - Juni sett med sikkerhetsreparasjoner for Android, som fikser 34 sårbarheter. Fire problemer har blitt tildelt et kritisk alvorlighetsnivå: to sårbarheter (CVE-2019-14073, CVE-2019-14080) i proprietære Qualcomm-komponenter) og to sårbarheter i systemet som tillater kodekjøring ved behandling av spesialdesignede eksterne data (CVE-2020 -0117 - heltall i Bluetooth-stabelen, ).
Kilde: opennet.ru