ProHoster > Blog > balita sa internet > Mga mapanganib na kahinaan sa QEMU, Node.js, Grafana at Android

Mga mapanganib na kahinaan sa QEMU, Node.js, Grafana at Android

Ilang kamakailang natukoy na mga kahinaan:

  • Kakayahang mangyari (CVE-2020-13765) sa QEMU, na maaaring maging sanhi ng code na maisakatuparan sa mga pribilehiyo ng proseso ng QEMU sa panig ng host kapag ang isang custom na kernel na imahe ay na-load sa bisita. Ang problema ay sanhi ng isang buffer overflow sa ROM copy code sa panahon ng system boot at nangyayari kapag ang mga nilalaman ng isang 32-bit kernel image ay na-load sa memorya. Ang pag-aayos ay kasalukuyang magagamit lamang sa form patch.
  • Apat na kahinaan sa Node.js. Mga kahinaan inalis sa mga release 14.4.0, 10.21.0 at 12.18.0.
    • CVE-2020-8172 - Nagbibigay-daan sa pag-verify ng host certificate na ma-bypass kapag muling gumagamit ng TLS session.
    • CVE-2020-8174 - Potensyal na nagbibigay-daan sa pagpapatupad ng code sa system dahil sa buffer overflow sa napi_get_value_string_*() function na nangyayari sa ilang partikular na tawag sa N-API (C API para sa pagsulat ng mga katutubong add-on).
    • Ang CVE-2020-10531 ay isang integer overflow sa ICU (International Components para sa Unicode) para sa C/C++ na maaaring humantong sa isang buffer overflow kapag ginagamit ang UnicodeString::doAppend() function.
    • CVE-2020-11080 - nagbibigay-daan sa pagtanggi sa serbisyo (100% CPU load) sa pamamagitan ng pagpapadala ng malalaking "SETTINGS" na frame kapag kumokonekta sa pamamagitan ng HTTP/2.
  • Kakayahang mangyari sa Grafana interactive metrics visualization platform, na ginagamit upang bumuo ng mga visual monitoring graph batay sa iba't ibang data source. Ang isang error sa code para sa pagtatrabaho sa mga avatar ay nagbibigay-daan sa iyong simulan ang pagpapadala ng HTTP na kahilingan mula sa Grafana sa anumang URL nang hindi nagpapasa ng pagpapatunay at makita ang resulta ng kahilingang ito. Maaaring gamitin ang tampok na ito, halimbawa, upang pag-aralan ang panloob na network ng mga kumpanyang gumagamit ng Grafana. Problema inalis sa mga isyu
    Grafana 6.7.4 at 7.0.2. Bilang solusyon sa seguridad, inirerekomendang higpitan ang pag-access sa URL na β€œ/avatar/*” sa server na tumatakbo sa Grafana.

  • Nai-publish June set ng security fixes para sa Android, na nag-aayos ng 34 na kahinaan. Apat na isyu ang itinalaga ng kritikal na antas ng kalubhaan: dalawang kahinaan (CVE-2019-14073, CVE-2019-14080) sa mga proprietary na bahagi ng Qualcomm) at dalawang kahinaan sa system na nagbibigay-daan sa pagpapatupad ng code kapag nagpoproseso ng espesyal na idinisenyong panlabas na data (CVE-2020 -0117 - integer pag-apaw sa Bluetooth stack, CVE-2020-8597 - EAP overflow sa pppd).

Pinagmulan: opennet.ru

Magdagdag ng komento