ProHoster > blog > habari za mtandao > Athari hatari katika QEMU, Node.js, Grafana na Android

Athari hatari katika QEMU, Node.js, Grafana na Android

Udhaifu kadhaa uliotambuliwa hivi karibuni:

  • Uwezo wa kuathiriwa (CVE-2020-13765) katika QEMU, ambayo inaweza kusababisha msimbo kutekelezwa kwa haki za mchakato wa QEMU kwenye upande wa mwenyeji wakati picha maalum ya kernel inapopakiwa kwa mgeni. Tatizo husababishwa na kufurika kwa buffer katika msimbo wa nakala ya ROM wakati wa kuwasha mfumo na hutokea wakati yaliyomo kwenye picha ya 32-bit kernel yanapakiwa kwenye kumbukumbu. Marekebisho kwa sasa yanapatikana tu katika fomu kiraka.
  • Udhaifu nne katika Node.js. Udhaifu kuondolewa katika matoleo 14.4.0, 10.21.0 na 12.18.0.
    • CVE-2020-8172 - Inaruhusu uthibitishaji wa cheti cha mpangishi kupitwa wakati wa kutumia tena kipindi cha TLS.
    • CVE-2020-8174 - Inawezekana inaruhusu utekelezaji wa nambari kwenye mfumo kwa sababu ya kufurika kwa bafa katika napi_get_value_string_*() vitendakazi ambavyo hutokea wakati wa simu fulani kwa N-API (C API ya kuandika nyongeza za asili).
    • CVE-2020-10531 ni idadi kamili ya kufurika katika ICU (Vipengele vya Kimataifa vya Unicode) kwa C/C++ ambayo inaweza kusababisha kufurika kwa bafa unapotumia chaguo za kukokotoa za UnicodeString::doAppend().
    • CVE-2020-11080 - inaruhusu kunyimwa huduma (100% ya mzigo wa CPU) kupitia upitishaji wa fremu kubwa za "SETTINGS" wakati wa kuunganisha kupitia HTTP/2.
  • Uwezo wa kuathiriwa katika jukwaa la taswira ya metriki shirikishi ya Grafana, inayotumika kutengeneza grafu za ufuatiliaji unaoonekana kulingana na vyanzo mbalimbali vya data. Hitilafu katika msimbo wa kufanya kazi na avatar hukuruhusu kuanzisha kutuma ombi la HTTP kutoka Grafana hadi kwa URL yoyote bila kupitisha uthibitishaji na kuona matokeo ya ombi hili. Kipengele hiki kinaweza kutumika, kwa mfano, kujifunza mtandao wa ndani wa makampuni kwa kutumia Grafana. Tatizo kuondolewa katika masuala
    Grafana 6.7.4 na 7.0.2. Kama suluhisho la usalama, inashauriwa kuzuia ufikiaji wa URL "/avatar/*" kwenye seva inayoendesha Grafana.

  • iliyochapishwa Seti ya Juni ya marekebisho ya usalama kwa Android, ambayo hurekebisha udhaifu 34. Masuala manne yamepewa kiwango cha ukali muhimu: udhaifu mbili (CVE-2019-14073, CVE-2019-14080) katika vipengele vya wamiliki vya Qualcomm) na udhaifu mbili katika mfumo unaoruhusu utekelezaji wa kanuni wakati wa kuchakata data ya nje iliyoundwa maalum (CVE-2020 -0117 - nambari kamili kufurika kwenye safu ya Bluetooth, CVE-2020-8597 - EAP kufurika katika pppd).

Chanzo: opennet.ru

Kuongeza maoni