ProHoster > Blog > notícias da internet > Vulnerabilidades perigosas em QEMU, Node.js, Grafana e Android

Vulnerabilidades perigosas em QEMU, Node.js, Grafana e Android

Várias vulnerabilidades recentemente identificadas:

  • Vulnerabilidade (CVE-2020-13765) no QEMU, o que poderia fazer com que o código fosse executado com privilégios de processo QEMU no lado do host quando uma imagem de kernel personalizada fosse carregada no convidado. O problema é causado por um estouro de buffer no código de cópia da ROM durante a inicialização do sistema e ocorre quando o conteúdo de uma imagem do kernel de 32 bits é carregado na memória. A correção está atualmente disponível apenas no formulário correção.
  • Quatro vulnerabilidades em Node.js. Vulnerabilidades eliminado nas versões 14.4.0, 10.21.0 e 12.18.0.
    • CVE-2020-8172 – Permite que a verificação do certificado do host seja ignorada ao reutilizar uma sessão TLS.
    • CVE-2020-8174 - Potencialmente permite a execução de código no sistema devido a um buffer overflow nas funções napi_get_value_string_*() que ocorre durante certas chamadas para N-API (API C para escrever complementos nativos).
    • CVE-2020-10531 é um estouro de número inteiro em ICU (International Components for Unicode) para C/C++ que pode levar a um estouro de buffer ao usar a função UnicodeString::doAppend().
    • CVE-2020-11080 - permite negação de serviço (100% de carga da CPU) por meio da transmissão de grandes quadros "SETTINGS" ao conectar via HTTP/2.
  • Vulnerabilidade na plataforma de visualização de métricas interativas Grafana, usada para construir gráficos de monitoramento visual baseados em diversas fontes de dados. Um erro no código para trabalhar com avatares permite iniciar o envio de uma solicitação HTTP do Grafana para qualquer URL sem passar na autenticação e ver o resultado dessa solicitação. Este recurso pode ser utilizado, por exemplo, para estudar a rede interna de empresas que utilizam o Grafana. Problema eliminado em questões
    Grafana 6.7.4 e 7.0.2. Como solução alternativa de segurança, é recomendado restringir o acesso à URL “/avatar/*” no servidor que executa o Grafana.

  • publicado Conjunto de correções de segurança de junho para Android, que corrige 34 vulnerabilidades. Quatro problemas receberam um nível de gravidade crítico: duas vulnerabilidades (CVE-2019-14073, CVE-2019-14080) em componentes proprietários da Qualcomm) e duas vulnerabilidades no sistema que permitem a execução de código ao processar dados externos especialmente projetados (CVE-2020 -0117 - inteiro transbordar na pilha Bluetooth, CVE-2020-8597 – Estouro de EAP no pppd).

Fonte: opennet.ru

Adicionar um comentário