ProHoster > Blog > internetne novice > Nevarne ranljivosti v QEMU, Node.js, Grafana in Android

Nevarne ranljivosti v QEMU, Node.js, Grafana in Android

Več nedavno ugotovljenih ranljivosti:

  • Ranljivost (CVE-2020-13765) v QEMU, kar bi lahko povzročilo izvajanje kode s privilegiji procesa QEMU na strani gostitelja, ko je slika jedra po meri naložena v gosta. Težavo povzroča prekoračitev medpomnilnika v kodi kopije ROM-a med zagonom sistema in se pojavi, ko se vsebina 32-bitne slike jedra naloži v pomnilnik. Popravek je trenutno na voljo samo v obliki obliž.
  • Štiri ranljivosti v Node.js. Ranljivosti odpraviti v izdajah 14.4.0, 10.21.0 in 12.18.0.
    • CVE-2020-8172 – Omogoča, da se pri ponovni uporabi seje TLS obide preverjanje potrdila gostitelja.
    • CVE-2020-8174 – potencialno dovoljuje izvajanje kode v sistemu zaradi prekoračitve medpomnilnika v funkcijah napi_get_value_string_*(), do katere pride med določenimi klici N-API (C API za pisanje izvornih dodatkov).
    • CVE-2020-10531 je celoštevilska prekoračitev v ICU (mednarodne komponente za Unicode) za C/C++, ki lahko povzroči prekoračitev medpomnilnika pri uporabi funkcije UnicodeString::doAppend().
    • CVE-2020-11080 - omogoča zavrnitev storitve (100 % obremenitev procesorja) prek prenosa velikih okvirjev "NASTAVITVE" pri povezovanju prek HTTP/2.
  • Ranljivost v platformi za vizualizacijo interaktivnih metrik Grafana, ki se uporablja za gradnjo grafov vizualnega spremljanja na podlagi različnih podatkovnih virov. Napaka v kodi za delo z avatarji vam omogoča, da sprožite pošiljanje zahteve HTTP iz Grafana na kateri koli URL brez preverjanja pristnosti in si ogledate rezultat te zahteve. To funkcijo lahko na primer uporabite za preučevanje notranje mreže podjetij, ki uporabljajo Grafano. Težava odpraviti v vprašanjih
    Grafana 6.7.4 in 7.0.2. Kot varnostno rešitev je priporočljivo omejiti dostop do URL-ja »/avatar/*« na strežniku, v katerem se izvaja Grafana.

  • Objavljeno Junijski nabor varnostnih popravkov za Android, ki odpravlja 34 ranljivosti. Štirim težavam je bila dodeljena kritična stopnja resnosti: dve ranljivosti (CVE-2019-14073, CVE-2019-14080) v lastniških komponentah Qualcomm) in dve ranljivosti v sistemu, ki omogočata izvajanje kode pri obdelavi posebej zasnovanih zunanjih podatkov (CVE-2020). -0117 - celo število preliv v skladu Bluetooth, CVE-2020-8597 - Prelivanje EAP v pppd).

Vir: opennet.ru

Dodaj komentar