ProHoster > Блог > Новини інтернету > Небезпечні вразливості в QEMU, Node.js, Grafana та Android

Небезпечні вразливості в QEMU, Node.js, Grafana та Android

Декілька нещодавно виявлених уразливостей:

  • уразливість (CVE-2020-13765) QEMU, яка потенційно може призвести до виконання коду з правами процесу QEMU на стороні хост-системи при завантаженні в гостьовій системі спеціально оформленого образу ядра. Проблема викликана переповненням буфера в коді копіювання вмісту ПЗП на етапі завантаження системи і виявляється при завантаженні вмісту 32-розрядного образу ядра в пам'ять. Виправлення поки що доступне тільки у формі патча.
  • Чотири вразливості у Node.js. Вразливості усунені у випусках 14.4.0, 10.21.0 та 12.18.0.
    • CVE-2020-8172 дозволяє обійти перевірку сертифіката хоста при повторному використанні TLS-сеансу.
    • CVE-2020-8174 — потенційно дозволяє досягти виконання коду в системі через переповнення буфера у функціях napi_get_value_string_*(), що виникає при певних зверненнях до N-API (Сі API для написання нативних доповнень).
    • CVE-2020-10531 — цілечисленне переповнення в ICU (International Components for Unicode) для C/C++, яке може призвести до переповнення буфера під час використання функції UnicodeString::doAppend().
    • CVE-2020-11080 — дозволяє відмову в обслуговуванні (100% навантаження на CPU) через передачу великих кадрів «SETTINGS» при підключенні по HTTP/2.
  • уразливість у платформі інтерактивної візуалізації метрик Grafana, яка застосовується для побудови графіків наочного моніторингу на основі різних джерел даних. Помилка в коді роботи з аватарами дозволяє без проходження автентифікації ініціювати відправлення HTTP-запиту з боку Grafana на будь-яку URL-адресу і подивитися результат цього запиту. Ця особливість може застосовуватися, наприклад, для вивчення внутрішньої мережі компаній, що використовують Grafana. Проблема усунута у випусках
    Grafana 6.7.4 та 7.0.2. Як обхідний шлях захисту рекомендується обмежити доступ до URL /avatar/* на сервері з Grafana.

  • Опубліковано червневий набір виправлень проблем з безпекою для Android, у якому усунуто 34 вразливості. Чотирьом проблемам надано критичний рівень небезпеки: дві вразливості (CVE-2019-14073, CVE-2019-14080) у пропрієтарних компонентах Qualcomm) та дві вразливості в системі, що дозволяють виконати код при обробці спеціально оформлених зовнішніх даних (CVE2020 переповнення у Bluetooth-стеку, CVE-2020-8597 - переповнення EAP в pppd).

Джерело: opennet.ru

Додати коментар або відгук