ProHoster > Blog > internetové správy > Nebezpečné zraniteľnosti v QEMU, Node.js, Grafana a Android

Nebezpečné zraniteľnosti v QEMU, Node.js, Grafana a Android

Niekoľko nedávno identifikovaných zraniteľností:

  • Zraniteľnosť (CVE-2020 13765,) v QEMU, čo by mohlo potenciálne spôsobiť spustenie kódu s privilégiami procesu QEMU na strane hostiteľa, keď sa do hosťa načíta vlastný obraz jadra. Problém je spôsobený pretečením vyrovnávacej pamäte v kóde kópie ROM počas zavádzania systému a vyskytuje sa, keď sa obsah 32-bitového obrazu jadra načíta do pamäte. Oprava je momentálne dostupná len vo formulári náplasť.
  • Štyri zraniteľnosti v Node.js. Zraniteľnosť eliminované vo vydaniach 14.4.0, 10.21.0 a 12.18.0.
    • CVE-2020-8172 – Umožňuje obísť overenie certifikátu hostiteľa pri opätovnom použití relácie TLS.
    • CVE-2020-8174 – Potenciálne umožňuje spustenie kódu v systéme kvôli pretečeniu vyrovnávacej pamäte vo funkciách napi_get_value_string_*(), ku ktorému dochádza počas určitých volaní N-API (C API na písanie natívnych doplnkov).
    • CVE-2020-10531 je pretečenie celého čísla v ICU (International Components for Unicode) pre C/C++, ktoré môže viesť k pretečeniu vyrovnávacej pamäte pri použití funkcie UnicodeString::doAppend().
    • CVE-2020-11080 - umožňuje odmietnutie služby (100% zaťaženie CPU) prostredníctvom prenosu veľkých rámcov "SETTINGS" pri pripojení cez HTTP/2.
  • Zraniteľnosť v interaktívnej platforme vizualizácie metrík Grafana, ktorá sa používa na vytváranie vizuálnych monitorovacích grafov na základe rôznych zdrojov údajov. Chyba v kóde pre prácu s avatarmi vám umožňuje iniciovať odoslanie HTTP požiadavky z Grafany na ľubovoľnú URL bez odovzdania autentifikácie a vidieť výsledok tejto požiadavky. Túto funkciu je možné využiť napríklad na štúdium internej siete firiem využívajúcich Grafana. Problém eliminovaný v otázkach
    Grafana 6.7.4 a 7.0.2. Ako bezpečnostné riešenie sa odporúča obmedziť prístup k URL „/avatar/*“ na serveri, na ktorom je spustená Grafana.

  • publikovaný Júnová sada bezpečnostných opráv pre Android, ktorá opravuje 34 zraniteľností. Štyrom problémom bola priradená kritická úroveň závažnosti: dve zraniteľnosti (CVE-2019-14073, CVE-2019-14080) v proprietárnych komponentoch Qualcomm) a dve zraniteľnosti v systéme, ktoré umožňujú spustenie kódu pri spracovaní špeciálne navrhnutých externých údajov (CVE-2020 -0117 - celé číslo pretekať v zásobníku Bluetooth, CVE-2020-8597 - Pretečenie EAP v pppd).

Zdroj: opennet.ru

Pridať komentár