ProHoster > Blog > warta internét > Kerentanan bahaya dina QEMU, Node.js, Grafana sareng Android

Kerentanan bahaya dina QEMU, Node.js, Grafana sareng Android

Sababaraha kerentanan anu nembe diidentifikasi:

  • Kerentanan (CVE-2020-13765) dina QEMU, anu berpotensi ngabalukarkeun kode dieksekusi kalawan hak husus prosés QEMU di sisi host nalika gambar kernel custom dimuat kana tamu. Masalahna disababkeun ku ngabahekeun panyangga dina kode salinan ROM nalika boot sistem sareng lumangsung nalika eusi gambar kernel 32-bit dimuat kana mémori. Perbaikan ayeuna ngan ukur aya dina bentuk patch.
  • Opat vulnerabilities dina Node.js. Karentanan ngaleungitkeun di release 14.4.0, 10.21.0 jeung 12.18.0.
    • CVE-2020-8172 - Ngidinan verifikasi sertipikat host pikeun dileungitkeun nalika nganggo deui sési TLS.
    • CVE-2020-8174 - Berpotensi ngamungkinkeun eksekusi kode dina sistem alatan panyangga mudal dina napi_get_value_string_*() fungsi nu lumangsung salila nelepon tangtu. N-API (C API pikeun nulis add-on asli).
    • CVE-2020-10531 mangrupa ngabahekeun integer di ICU (Komponén Internasional pikeun Unicode) pikeun C / C ++ nu bisa ngakibatkeun hiji mudal panyangga lamun ngagunakeun fungsi UnicodeString :: doAppend ().
    • CVE-2020-11080 - ngamungkinkeun panolakan jasa (100% beban CPU) ngaliwatan pangiriman pigura "SETTINGS" badag nalika nyambungkeun via HTTP / 2.
  • Kerentanan dina platform visualisasi métrik interaktif Grafana, dipaké pikeun ngawangun grafik ngawaskeun visual dumasar kana rupa-rupa sumber data. Kasalahan dina kode pikeun gawé bareng avatar ngamungkinkeun anjeun pikeun ngamimitian ngirim pamundut HTTP ti Grafana ka URL mana waé tanpa ngalangkungan auténtikasi sareng ningali hasil pamundut ieu. Fitur ieu tiasa dianggo, contona, pikeun diajar jaringan internal perusahaan nganggo Grafana. Masalah ngaleungitkeun dina isu
    Grafana 6.7.4 jeung 7.0.2. Salaku workaround kaamanan, disarankeun pikeun ngawatesan aksés ka URL "/ avatar / *" dina server ngajalankeun Grafana.

  • diterbitkeun Setélan perbaikan kaamanan Juni pikeun Android, anu ngalereskeun 34 kerentanan. Opat masalah parantos ditugaskeun tingkat parah kritis: dua kerentanan (CVE-2019-14073, CVE-2019-14080) dina komponén Qualcomm proprietary) sareng dua kerentanan dina sistem anu ngamungkinkeun palaksanaan kode nalika ngolah data éksternal anu dirarancang khusus (CVE-2020). -0117 - integer ngabahekeun dina tumpukan Bluetooth, CVE-2020-8597 - EAP ngabahekeun dina pppd).

sumber: opennet.ru

Tambahkeun komentar