ProHoster > blogg > internetnyheter > Farliga sårbarheter i QEMU, Node.js, Grafana och Android

Farliga sårbarheter i QEMU, Node.js, Grafana och Android

Flera nyligen identifierade sårbarheter:

  • Sårbarhet (CVE-2020-13765) i QEMU, vilket potentiellt kan orsaka att kod exekveras med QEMU-processbehörigheter på värdsidan när en anpassad kärnavbildning läses in i gästen. Problemet orsakas av ett buffertspill i ROM-kopieringskoden under systemstart och uppstår när innehållet i en 32-bitars kärnavbildning laddas in i minnet. Fixningen är för närvarande endast tillgänglig i formuläret lappa.
  • Fyra sårbarheter i Node.js. Sårbarheter utslagen i utgåvor 14.4.0, 10.21.0 och 12.18.0.
    • CVE-2020-8172 - Tillåter att värdcertifikatverifiering förbigås vid återanvändning av en TLS-session.
    • CVE-2020-8174 - Tillåter potentiellt kodexekvering på systemet på grund av ett buffertspill i funktionerna napi_get_value_string_*() som inträffar under vissa anrop till N-API (C API för att skriva inbyggda tillägg).
    • CVE-2020-10531 är ett heltalsspill i ICU (International Components for Unicode) för C/C++ som kan leda till ett buffertspill när funktionen UnicodeString::doAppend() används.
    • CVE-2020-11080 - tillåter denial of service (100 % CPU-belastning) via överföring av stora "SETTINGS"-ramar vid anslutning via HTTP/2.
  • Sårbarhet i Grafanas interaktiva statistikvisualiseringsplattform, som används för att bygga visuella övervakningsgrafer baserade på olika datakällor. Ett fel i koden för att arbeta med avatarer gör att du kan initiera att skicka en HTTP-förfrågan från Grafana till valfri URL utan att passera autentisering och se resultatet av denna begäran. Denna funktion kan till exempel användas för att studera det interna nätverket av företag som använder Grafana. Problem utslagen i frågor
    Grafana 6.7.4 och 7.0.2. Som en säkerhetslösning rekommenderas det att begränsa åtkomsten till URL:en "/avatar/*" på servern som kör Grafana.

  • publiceras Juni uppsättning säkerhetskorrigeringar för Android, som fixar 34 sårbarheter. Fyra problem har tilldelats en kritisk svårighetsgrad: två sårbarheter (CVE-2019-14073, CVE-2019-14080) i proprietära Qualcomm-komponenter) och två sårbarheter i systemet som tillåter kodexekvering vid bearbetning av specialdesignad extern data (CVE-2020 -0117 - heltal svämma över i Bluetooth-stacken, CVE-2020-8597 - EAP-spill i pppd).

Källa: opennet.ru

Lägg en kommentar