ProHoster > Blog > ахбори интернет > Офтобҳои хатарнок дар QEMU, Node.js, Grafana ва Android

Офтобҳои хатарнок дар QEMU, Node.js, Grafana ва Android

Якчанд осебпазириҳои ба наздикӣ муайяншуда:

  • Осебпазирӣ (CVE-2020-13765) дар QEMU, ки эҳтимолан метавонад боиси иҷро шудани код бо имтиёзҳои раванди QEMU дар тарафи мизбон гардад, вақте ки тасвири ядрои фармоишӣ ба меҳмон бор карда мешавад. Мушкилот дар натиҷаи пур шудани буфер дар коди нусхабардории ROM ҳангоми боркунии система ба вуҷуд меояд ва вақте ки мундариҷаи тасвири ядрои 32-бит ба хотира бор карда мешавад, рух медиҳад. Ислоҳ ҳоло танҳо дар шакл дастрас аст ямоқи.
  • Чор осебпазирӣ дар Node.js. осебпазириҳо бартараф карда шуд дар релизҳои 14.4.0, 10.21.0 ва 12.18.0.
    • CVE-2020-8172 - Имкон медиҳад, ки санҷиши сертификати мизбон ҳангоми истифодаи дубораи сессияи TLS гузарад.
    • CVE-2020-8174 - Эҳтимолияти иҷрои кодро дар система аз сабаби фаромадани буфер дар функсияҳои napi_get_value_string_*(), ки ҳангоми зангҳои муайян ба N-API (C API барои навиштани иловаҳои маҳаллӣ).
    • CVE-2020-10531 як изофаи бутун дар ICU (Ҷисмҳои байналмилалӣ барои Юникод) барои C/C++ мебошад, ки ҳангоми истифодаи функсияи UnicodeString::doAppend() метавонад боиси фаромадани буфер гардад.
    • CVE-2020-11080 - имкон медиҳад, ки рад кардани хидмат (100% сарбории CPU) тавассути интиқоли чаҳорчӯбаҳои калони "SETTINGS" ҳангоми пайвастшавӣ тавассути HTTP/2.
  • Осебпазирӣ дар платформаи визуализатсияи интерактивии метрикаи Grafana, ки барои сохтани графикҳои мониторинги визуалӣ дар асоси сарчашмаҳои гуногуни маълумот истифода мешавад. Хатогӣ дар коди кор бо аватарҳо ба шумо имкон медиҳад, ки фиристодани дархости HTTP-ро аз Grafana ба дилхоҳ URL бидуни гузаштани аутентификатсия оғоз кунед ва натиҷаи ин дархостро бубинед. Ин хусусиятро, масалан, барои омӯзиши шабакаи дохилии ширкатҳо бо истифода аз Grafana истифода бурдан мумкин аст. Мушкилот бартараф карда шуд дар масъалахо
    Grafana 6.7.4 ва 7.0.2. Ҳамчун як роҳи ҳалли амният, тавсия дода мешавад, ки дастрасӣ ба URL-и "/avatar/*" дар сервери Grafana маҳдуд карда шавад.

  • нашр шудааст Маҷмӯи ислоҳоти амниятӣ барои Android, ки 34 осебпазириро ислоҳ мекунад, моҳи июн. Ба чаҳор масъала дараҷаи шадиди ҷиддӣ дода шудааст: ду осебпазирӣ (CVE-2019-14073, CVE-2019-14080) дар ҷузъҳои хусусии Qualcomm) ва ду осебпазирӣ дар система, ки иҷрои кодро ҳангоми коркарди додаҳои берунии махсус тарҳрезишуда имкон медиҳанд (CVE-2020) -0117 - бутун пур кардан дар стек Bluetooth, CVE-2020-8597 - фарогирии EAP дар pppd).

Манбаъ: opennet.ru

Илова Эзоҳ