پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > QEMU، Node.js، Grafana اور Android میں خطرناک خطرات

QEMU، Node.js، Grafana اور Android میں خطرناک خطرات

حال ہی میں نشاندہی کی گئی کئی کمزوریاں:

  • کمزوری (CVE-2020-13765) QEMU میں، جو ممکنہ طور پر کوڈ کو ہوسٹ سائیڈ پر QEMU پروسیس مراعات کے ساتھ عمل میں لانے کا سبب بن سکتا ہے جب ایک حسب ضرورت کرنل امیج کو مہمان میں لوڈ کیا جاتا ہے۔ سسٹم بوٹ کے دوران ROM کاپی کوڈ میں بفر اوور فلو کی وجہ سے مسئلہ پیدا ہوتا ہے اور اس وقت ہوتا ہے جب 32 بٹ کرنل امیج کے مواد کو میموری میں لوڈ کیا جاتا ہے۔ فکس فی الحال صرف فارم میں دستیاب ہے۔ پیچ.
  • چار کمزوریاں Node.js میں کمزوریاں ختم کر دیا ریلیز 14.4.0، 10.21.0 اور 12.18.0 میں۔
    • CVE-2020-8172 - TLS سیشن کو دوبارہ استعمال کرتے وقت میزبان سرٹیفکیٹ کی تصدیق کو نظرانداز کرنے کی اجازت دیتا ہے۔
    • CVE-2020-8174 - napi_get_value_string_*() فنکشنز میں بفر اوور فلو کی وجہ سے سسٹم پر ممکنہ طور پر کوڈ پر عمل درآمد کی اجازت دیتا ہے جو مخصوص کالز کے دوران ہوتا ہے N-API۔ (سی API مقامی ایڈ آن لکھنے کے لیے)۔
    • CVE-2020-10531 C/C++ کے لیے ICU (یونی کوڈ کے لیے بین الاقوامی اجزاء) میں ایک عدد اوور فلو ہے جو UnicodeString::doAppend() فنکشن کا استعمال کرتے وقت بفر اوور فلو کا باعث بن سکتا ہے۔
    • CVE-2020-11080 - HTTP/100 کے ذریعے منسلک ہونے پر بڑے "SETTINGS" فریمز کی ترسیل کے ذریعے سروس سے انکار (2% CPU لوڈ) کی اجازت دیتا ہے۔
  • کمزوری گرافانا انٹرایکٹو میٹرکس ویژولائزیشن پلیٹ فارم میں، مختلف ڈیٹا ذرائع کی بنیاد پر بصری نگرانی کے گراف بنانے کے لیے استعمال کیا جاتا ہے۔ اوتاروں کے ساتھ کام کرنے کے کوڈ میں ایک خرابی آپ کو کسی بھی یو آر ایل پر گرافانا سے کسی بھی یو آر ایل پر بغیر تصدیق کے بھیجنے کی اجازت دیتی ہے اور اس درخواست کا نتیجہ دیکھ سکتے ہیں۔ اس خصوصیت کو استعمال کیا جا سکتا ہے، مثال کے طور پر، Grafana استعمال کرنے والی کمپنیوں کے اندرونی نیٹ ورک کا مطالعہ کرنے کے لیے۔ مسئلہ ختم کر دیا مسائل میں
    گرافانا 6.7.4 اور 7.0.2۔ حفاظتی تدابیر کے طور پر، گرافانا چلانے والے سرور پر URL "/avatar/*" تک رسائی کو محدود کرنے کی سفارش کی جاتی ہے۔

  • شائع ہوا جون میں اینڈرائیڈ کے لیے سیکیورٹی فکسز کا سیٹ، جو 34 کمزوریوں کو ٹھیک کرتا ہے۔ چار ایشوز کو سنجیدگی کی ایک اہم سطح تفویض کی گئی ہے: دو کمزوریاں (CVE-2019-14073، CVE-2019-14080) ملکیتی Qualcomm اجزاء میں) اور سسٹم میں دو کمزوریاں جو خاص طور پر ڈیزائن کردہ V بیرونی ڈیٹا پر کارروائی کرتے وقت کوڈ پر عمل درآمد کی اجازت دیتی ہیں۔ -2020 - عدد بہاؤ بلوٹوتھ اسٹیک میں، CVE-2020-8597 - pppd میں EAP اوور فلو).

ماخذ: opennet.ru

نیا تبصرہ شامل کریں