ProHoster > Blog > internet haberleri > QEMU, Node.js, Grafana ve Android'deki tehlikeli güvenlik açıkları

QEMU, Node.js, Grafana ve Android'deki tehlikeli güvenlik açıkları

Yakın zamanda tespit edilen birkaç güvenlik açığı:

  • Güvenlik açığı (CVE-2020-13765) QEMU'da; bu, konuğa özel bir çekirdek görüntüsü yüklendiğinde ana bilgisayar tarafında kodun QEMU işlem ayrıcalıklarıyla yürütülmesine neden olabilir. Sorun, sistem önyüklemesi sırasında ROM kopya kodundaki arabellek taşmasından kaynaklanır ve 32 bit çekirdek görüntüsünün içeriği belleğe yüklendiğinde ortaya çıkar. Düzeltme şu anda yalnızca formda mevcuttur yama.
  • Dört güvenlik açığı Node.js'de. Güvenlik açıkları elimine 14.4.0, 10.21.0 ve 12.18.0 sürümlerinde.
    • CVE-2020-8172 - Bir TLS oturumu yeniden kullanılırken ana bilgisayar sertifikası doğrulamasının atlanmasına izin verir.
    • CVE-2020-8174 - Belirli çağrılar sırasında napi_get_value_string_*() işlevlerinde meydana gelen arabellek taşması nedeniyle sistemde kod yürütülmesine izin verme potansiyeli vardır N-API (Yerel eklentiler yazmak için C API).
    • CVE-2020-10531, C/C++ için ICU'da (Unicode için Uluslararası Bileşenler) bir tamsayı taşmasıdır ve UnicodeString::doAppend() işlevi kullanıldığında arabellek taşmasına neden olabilir.
    • CVE-2020-11080 - HTTP/100 aracılığıyla bağlanırken büyük "AYARLAR" çerçevelerinin iletimi yoluyla hizmet reddine (%2 CPU yükü) olanak tanır.
  • Güvenlik açığı Grafana etkileşimli ölçüm görselleştirme platformunda, çeşitli veri kaynaklarına dayalı görsel izleme grafikleri oluşturmak için kullanılır. Avatarlarla çalışma kodundaki bir hata, Grafana'dan herhangi bir URL'ye kimlik doğrulamasını geçmeden bir HTTP isteği göndermeyi başlatmanıza ve bu isteğin sonucunu görmenize olanak tanır. Bu özellik, örneğin Grafana kullanan şirketlerin iç ağını incelemek için kullanılabilir. Sorun elendi konularda
    Grafana 6.7.4 ve 7.0.2. Bir güvenlik çözümü olarak Grafana'nın çalıştığı sunucuda “/avatar/*” URL'sine erişimin kısıtlanması önerilir.

  • yayınlanan Haziran ayı Android için 34 güvenlik açığını gideren güvenlik düzeltmeleri seti. Dört soruna kritik önem düzeyi atanmıştır: Tescilli Qualcomm bileşenlerinde iki güvenlik açığı (CVE-2019-14073, CVE-2019-14080) ve özel olarak tasarlanmış harici verileri işlerken kod yürütülmesine izin veren sistemdeki iki güvenlik açığı (CVE-2020) -0117 - tamsayı taşma Bluetooth yığınında, CVE-2020-8597 - pppd'de EAP taşması).

Kaynak: opennet.ru

Yorum ekle