ProHoster > Blog > lajme në internet > Dobësi të rrezikshme në QEMU, Node.js, Grafana dhe Android

Dobësi të rrezikshme në QEMU, Node.js, Grafana dhe Android

Disa dobësi të identifikuara së fundmi:

  • Prekshmëria (CVE-2020-13765) në QEMU, gjë që mund të shkaktojë që kodi të ekzekutohet me privilegjet e procesit QEMU në anën e pritësit kur një imazh i personalizuar i kernelit ngarkohet te mysafiri. Problemi shkaktohet nga një tejmbushje buferi në kodin e kopjimit të ROM-it gjatë nisjes së sistemit dhe ndodh kur përmbajtja e një imazhi të kernelit 32-bit ngarkohet në memorie. Rregullimi është aktualisht i disponueshëm vetëm në formular arnim.
  • Katër dobësi në Node.js. Dobësitë eliminohet në versionet 14.4.0, 10.21.0 dhe 12.18.0.
    • CVE-2020-8172 - Lejon që verifikimi i certifikatës së hostit të anashkalohet kur ripërdor një sesion TLS.
    • CVE-2020-8174 - Potencialisht lejon ekzekutimin e kodit në sistem për shkak të tejmbushjes së buferit në funksionet napi_get_value_string_*() që ndodh gjatë thirrjeve të caktuara në N-API (C API për shkrimin e shtesave vendase).
    • CVE-2020-10531 është një tejkalim i numrave të plotë në ICU (Përbërësit Ndërkombëtarë për Unicode) për C/C++ që mund të çojë në një tejmbushje buferi kur përdorni funksionin UnicodeString::doAppend().
    • CVE-2020-11080 - lejon mohimin e shërbimit (100% ngarkesë CPU) nëpërmjet transmetimit të kornizave të mëdha "SETTINGS" kur lidheni nëpërmjet HTTP/2.
  • Prekshmëria në platformën e vizualizimit të metrikës interaktive Grafana, e përdorur për të ndërtuar grafikët e monitorimit vizual bazuar në burime të ndryshme të të dhënave. Një gabim në kodin për të punuar me avatarët ju lejon të filloni dërgimin e një kërkese HTTP nga Grafana në çdo URL pa kaluar vërtetimin dhe të shihni rezultatin e kësaj kërkese. Kjo veçori mund të përdoret, për shembull, për të studiuar rrjetin e brendshëm të kompanive që përdorin Grafana. Problem eliminohet në çështje
    Grafana 6.7.4 dhe 7.0.2. Si një zgjidhje sigurie, rekomandohet të kufizoni aksesin në URL "/avatar/*" në serverin që ekzekuton Grafana.

  • botuar Seti i rregullimeve të sigurisë në qershor për Android, i cili rregullon 34 dobësi. Katër çështjeve iu është caktuar një nivel kritik i ashpërsisë: dy dobësi (CVE-2019-14073, CVE-2019-14080) në komponentët e pronarit të Qualcomm) dhe dy dobësi në sistem që lejojnë ekzekutimin e kodit kur përpunohen të dhëna të jashtme të projektuara posaçërisht (CVE-2020 -0117 - numër i plotë vërshoj në pirgun Bluetooth, CVE-2020-8597 - tejmbushje EAP në pppd).

Burimi: opennet.ru

Shto një koment