最近发现的几个漏洞:
- ()在 QEMU 中,当自定义内核映像加载到来宾中时,这可能会导致在主机端以 QEMU 进程权限执行代码。 该问题是由系统启动期间 ROM 复制代码中的缓冲区溢出引起的,并且在将 32 位内核映像的内容加载到内存中时发生。 目前修复仅以表格形式提供 .
- 在 Node.js 中。 漏洞 在版本 14.4.0、10.21.0 和 12.18.0 中。
- CVE-2020-8172 - 重用 TLS 会话时允许绕过主机证书验证。
- CVE-2020-8174 - 由于在某些调用期间发生的 napi_get_value_string_*() 函数中发生缓冲区溢出,可能允许在系统上执行代码 (用于编写本机附加组件的 C API)。
- CVE-2020-10531 是 C/C++ 的 ICU(Unicode 国际组件)中的整数溢出,在使用 UnicodeString::doAppend() 函数时可能导致缓冲区溢出。
- CVE-2020-11080 - 通过 HTTP/100 连接时允许通过传输大型“SETTINGS”帧来拒绝服务(2% CPU 负载)。
- Grafana交互式指标可视化平台中,用于基于各种数据源构建可视化监控图。 使用头像的代码中的错误允许您在不通过身份验证的情况下启动从 Grafana 向任何 URL 发送 HTTP 请求并查看此请求的结果。 例如,此功能可用于研究使用 Grafana 的公司的内部网络。 问题 在问题中
Grafana 6.7.4 和 7.0.2。 作为一种安全解决方法,建议限制对运行 Grafana 的服务器上的 URL“/avatar/*”的访问。 - 34 月份 Android 安全修复组,修复了 2019 个漏洞。 四个问题已被指定为严重严重级别:高通专有组件中的两个漏洞(CVE-14073-2019、CVE-14080-2020)以及系统中的两个漏洞(CVE-0117),这些漏洞允许在处理专门设计的外部数据时执行代码-XNUMX - 整数 在蓝牙堆栈中, ).
来源: opennet.ru