ProHoster > Blog > internet yangiliklari > QEMU, Node.js, Grafana va Androiddagi xavfli zaifliklar

QEMU, Node.js, Grafana va Androiddagi xavfli zaifliklar

Yaqinda aniqlangan bir nechta zaifliklar:

  • Zaiflik (CVE-2020-13765) QEMU da, bu mehmonga maxsus yadro tasviri yuklanganda xost tomonida QEMU jarayon imtiyozlari bilan kodning bajarilishiga olib kelishi mumkin. Muammo tizimni yuklash paytida ROM nusxa kodidagi buferning to'lib ketishidan kelib chiqadi va 32 bitli yadro tasvirining mazmuni xotiraga yuklanganda paydo bo'ladi. Tuzatish hozircha faqat shaklda mavjud yamoq.
  • To'rtta zaiflik Node.js da. Zaifliklar bartaraf etildi 14.4.0, 10.21.0 va 12.18.0 versiyalarida.
    • CVE-2020-8172 - TLS seansidan qayta foydalanishda xost sertifikatini tekshirishni chetlab o'tishga ruxsat beradi.
    • CVE-2020-8174 - Muayyan qo'ng'iroqlar paytida yuzaga keladigan napi_get_value_string_*() funksiyalarida bufer to'lib ketishi tufayli tizimda kod bajarilishiga potentsial ruxsat beradi. N-API (Mahalliy qo'shimchalarni yozish uchun C API).
    • CVE-2020-10531 - C/C++ uchun ICU (Unicode uchun xalqaro komponentlar) butun son to'lib ketishi bo'lib, UnicodeString::doAppend() funksiyasidan foydalanganda bufer to'lib ketishiga olib kelishi mumkin.
    • CVE-2020-11080 - HTTP/100 orqali ulanishda katta "SETTINGS" freymlarini uzatish orqali xizmat ko'rsatishni rad etish imkonini beradi (2% CPU yuki).
  • Zaiflik Grafana interaktiv o'lchovlar vizualizatsiya platformasida, turli ma'lumotlar manbalari asosida vizual monitoring grafiklarini yaratish uchun foydalaniladi. Avatarlar bilan ishlash kodidagi xatolik autentifikatsiyadan o'tmasdan Grafana-dan istalgan URL manziliga HTTP so'rovini yuborishni boshlash va ushbu so'rov natijasini ko'rish imkonini beradi. Bu xususiyatdan, masalan, Grafana-dan foydalanadigan kompaniyalarning ichki tarmog'ini o'rganish uchun foydalanish mumkin. Muammo bartaraf etildi masalalarda
    Grafana 6.7.4 va 7.0.2. Xavfsizlik yechimi sifatida Grafana serverida β€œ/avatar/*” URL manziliga kirishni cheklash tavsiya etiladi.

  • nashr etilgan 34 ta zaiflikni tuzatuvchi Android uchun iyun oyi xavfsizlik tuzatishlari toΚ»plami. To'rtta muammoga jiddiy jiddiylik darajasi berilgan: ikkita zaiflik (CVE-2019-14073, CVE-2019-14080) xususiy Qualcomm komponentlarida va tizimdagi ikkita zaiflik, bu maxsus ishlab chiqilgan tashqi ma'lumotlarni qayta ishlashda kodni bajarishga imkon beradi (CVE-2020). -0117 - butun son toshib ketish Bluetooth stekida, CVE-2020-8597 - pppd ichida EAP to'lib ketishi).

Manba: opennet.ru

a Izoh qo'shish