ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > QEMU, Node.js, Grafana మరియు Androidలో ప్రమాదకరమైన దుర్బలత్వాలు

QEMU, Node.js, Grafana మరియు Androidలో ప్రమాదకరమైన దుర్బలత్వాలు

ఇటీవల గుర్తించబడిన అనేక దుర్బలత్వాలు:

  • దుర్బలత్వం (CVE-2020-13765) QEMUలో, ఇది అతిథికి అనుకూల కెర్నల్ ఇమేజ్ లోడ్ అయినప్పుడు హోస్ట్ వైపున QEMU ప్రాసెస్ అధికారాలతో కోడ్‌ని అమలు చేయగలదు. సిస్టమ్ బూట్ సమయంలో ROM కాపీ కోడ్‌లో బఫర్ ఓవర్‌ఫ్లో కారణంగా సమస్య ఏర్పడుతుంది మరియు 32-బిట్ కెర్నల్ ఇమేజ్ యొక్క కంటెంట్‌లు మెమరీలోకి లోడ్ అయినప్పుడు సంభవిస్తుంది. పరిష్కారము ప్రస్తుతం రూపంలో మాత్రమే అందుబాటులో ఉంది పాచ్.
  • నాలుగు దుర్బలత్వాలు Node.jsలో. దుర్బలత్వాలు తొలగించబడింది 14.4.0, 10.21.0 మరియు 12.18.0 విడుదలలలో.
    • CVE-2020-8172 - TLS సెషన్‌ను తిరిగి ఉపయోగిస్తున్నప్పుడు హోస్ట్ సర్టిఫికేట్ ధృవీకరణను దాటవేయడానికి అనుమతిస్తుంది.
    • CVE-2020-8174 - నిర్దిష్ట కాల్‌ల సమయంలో సంభవించే napi_get_value_string_*() ఫంక్షన్‌లలో బఫర్ ఓవర్‌ఫ్లో కారణంగా సిస్టమ్‌లో కోడ్ అమలును సంభావ్యంగా అనుమతిస్తుంది N-API (స్థానిక యాడ్-ఆన్‌లను వ్రాయడానికి C API).
    • CVE-2020-10531 అనేది C/C++ కోసం ICU (యూనికోడ్ కోసం అంతర్జాతీయ భాగాలు)లో పూర్ణాంకం ఓవర్‌ఫ్లో, ఇది UnicodeString::doAppend() ఫంక్షన్‌ని ఉపయోగిస్తున్నప్పుడు బఫర్ ఓవర్‌ఫ్లోకి దారి తీస్తుంది.
    • CVE-2020-11080 - HTTP/100 ద్వారా కనెక్ట్ చేసేటప్పుడు పెద్ద "సెట్టింగ్‌లు" ఫ్రేమ్‌ల ప్రసారం ద్వారా సేవ యొక్క తిరస్కరణను (2% CPU లోడ్) అనుమతిస్తుంది.
  • దుర్బలత్వం గ్రాఫానా ఇంటరాక్టివ్ మెట్రిక్స్ విజువలైజేషన్ ప్లాట్‌ఫారమ్‌లో, వివిధ డేటా సోర్స్‌ల ఆధారంగా విజువల్ మానిటరింగ్ గ్రాఫ్‌లను రూపొందించడానికి ఉపయోగిస్తారు. అవతార్‌లతో పని చేయడం కోసం కోడ్‌లో ఉన్న లోపం, ప్రామాణీకరణను పాస్ చేయకుండానే గ్రాఫానా నుండి ఏదైనా URLకి HTTP అభ్యర్థనను పంపడాన్ని ప్రారంభించడానికి మరియు ఈ అభ్యర్థన ఫలితాన్ని చూడటానికి మిమ్మల్ని అనుమతిస్తుంది. ఉదాహరణకు, గ్రాఫానాను ఉపయోగించే సంస్థల అంతర్గత నెట్‌వర్క్‌ను అధ్యయనం చేయడానికి ఈ ఫీచర్‌ని ఉపయోగించవచ్చు. సమస్య తొలగించబడింది సమస్యలలో
    గ్రాఫానా 6.7.4 మరియు 7.0.2. భద్రతా పరిష్కారంగా, గ్రాఫానా నడుస్తున్న సర్వర్‌లో URL “/avatar/*”కి ప్రాప్యతను పరిమితం చేయాలని సిఫార్సు చేయబడింది.

  • ప్రచురించబడింది ఆండ్రాయిడ్ కోసం జూన్ సెట్ సెక్యూరిటీ ఫిక్స్‌లు, ఇది 34 దుర్బలత్వాలను పరిష్కరిస్తుంది. నాలుగు సమస్యలు క్లిష్టమైన తీవ్రత స్థాయిని కేటాయించబడ్డాయి: యాజమాన్య క్వాల్‌కామ్ భాగాలలో రెండు దుర్బలత్వాలు (CVE-2019-14073, CVE-2019-14080) మరియు ప్రత్యేకంగా రూపొందించిన బాహ్య డేటా (CVE-2020) కోడ్ అమలును అనుమతించే సిస్టమ్‌లోని రెండు దుర్బలత్వాలు -0117 - పూర్ణాంకం ఓవర్ఫ్లో బ్లూటూత్ స్టాక్‌లో, CVE-2020-8597 - Pppdలో EAP ఓవర్‌ఫ్లో).

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి