ProHoster > Blog > internet yangiliklari > QEMU, Node.js, Grafana va Androiddagi xavfli zaifliklar

QEMU, Node.js, Grafana va Androiddagi xavfli zaifliklar

Yaqinda aniqlangan ba'zi zaifliklar:

  • Zaiflik (CVE-2020-13765) QEMU da, bu mehmon tizimida maxsus yaratilgan yadro tasvirini yuklashda xost tizimida QEMU jarayonining imtiyozlari bilan kod bajarilishiga olib kelishi mumkin. Muammo tizimni yuklash bosqichida ROM nusxa kodidagi buferning to'lib ketishidan kelib chiqadi va 32 bitli yadro tasvirining mazmunini xotiraga yuklashda o'zini namoyon qiladi. Tuzatish hozircha faqat shaklda mavjud yamoq.
  • To'rtta zaiflik Node.js zaifliklar bartaraf etildi 14.4.0, 10.21.0 va 12.18.0 versiyalarida.
    • CVE-2020-8172 - TLS seansidan qayta foydalanishda xost sertifikatini tekshirishni chetlab o'tish imkonini beradi.
    • CVE-2020-8174 ā€“ napi_get_value_string_*() funksiyasidagi bufer toā€˜lib-toshgan boā€˜lib, u foydalanuvchiga maā€™lum qoā€˜ngā€˜iroqlar paytida yuzaga keladi. N-API (Mahalliy qo'shimchalarni yozish uchun C API).
    • CVE-2020-10531 - C/C++ uchun ICUda (Unicode uchun xalqaro komponentlar) butun son to'lib ketishi UnicodeString::doAppend() funksiyasidan foydalanganda buferning to'lib ketishiga olib kelishi mumkin.
    • CVE-2020-11080 ā€” HTTP/2 orqali ulanishda katta ā€œSETTINGSā€ freymlarini uzatish orqali xizmatni rad etish imkonini beradi (100% protsessor yuki).
  • Zaiflik Turli ma'lumotlar manbalari asosida vizual monitoring grafiklarini yaratish uchun foydalaniladigan Grafana interaktiv o'lchovlar vizualizatsiya platformasida avatar bilan ishlash kodidagi xatolik Grafana-ga autentifikatsiyasiz istalgan URL manziliga HTTP so'rovini yuborish va ushbu so'rov natijasini ko'rish imkonini beradi. Bu xususiyatdan, masalan, Grafana-dan foydalanadigan kompaniyalarning ichki tarmoqlarini o'rganish uchun foydalanish mumkin. Muammo bartaraf etildi masalalarda
    Grafana 6.7.4 va 7.0.2. Vaqtinchalik yechim sifatida Grafana bilan ishlaydigan serverdagi ā€œ/avatar/*ā€ URL manziliga kirishni cheklashni tavsiya qilamiz.
  • nashr etilgan Iyun oyidagi Android xavfsizlik tuzatish eslatmalari 34 ta zaiflikni ko'rib chiqadi. Ushbu muammolardan toā€˜rttasi muhim deb baholanadi: Qualcomm xususiy komponentlaridagi ikkita zaiflik (CVE-2019-14073, CVE-2019-14080) va tizimdagi maxsus ishlab chiqilgan tashqi maā€™lumotlarni (CVE-2020-0117 - integer) qayta ishlashda kod bajarilishiga imkon beruvchi ikkita zaiflik. toshib ketish Bluetooth stekida, CVE-2020-8597 - pppd ichida EAP to'lib ketishi).

Manba: opennet.ru

DDoS himoyasi, VPS VDS serverlari bo'lgan saytlar uchun ishonchli hosting sotib oling šŸ”„ DDoS himoyasi, VPS VDS serverlari bilan ishonchli veb-sayt xostingini sotib oling | ProHoster