最近發現的幾個漏洞:
- ()在 QEMU 中,當自訂核心映像載入到來賓中時,這可能會導致在主機端以 QEMU 進程權限執行程式碼。 該問題是由系統啟動期間 ROM 複製程式碼中的緩衝區溢位引起的,並且在將 32 位元核心映像的內容載入到記憶體中時發生。 目前修復僅以表格形式提供 .
- 在 Node.js 中。 漏洞 在版本 14.4.0、10.21.0 和 12.18.0 中。
- CVE-2020-8172 - 重複使用 TLS 會話時允許繞過主機憑證驗證。
- CVE-2020-8174 - 由於在某些呼叫期間發生的 napi_get_value_string_*() 函數中發生緩衝區溢出,可能允許在系統上執行程式碼 (用於編寫本機附加元件的 C API)。
- CVE-2020-10531 是 C/C++ 的 ICU(Unicode 國際元件)中的整數溢出,在使用 UnicodeString::doAppend() 函數時可能導致緩衝區溢位。
- CVE-2020-11080 - 透過 HTTP/100 連線時允許透過傳輸大型「SETTINGS」訊框來拒絕服務(2% CPU 負載)。
- Grafana互動式指標視覺化平台中,用於基於各種資料來源建立視覺化監控圖。 使用頭像的程式碼中的錯誤允許您在不通過身份驗證的情況下啟動從 Grafana 向任何 URL 發送 HTTP 請求並查看此請求的結果。 例如,此功能可用於研究使用 Grafana 的公司的內部網路。 問題 在問題中
Grafana 6.7.4 和 7.0.2。 作為一種安全解決方法,建議限制對執行 Grafana 的伺服器上的 URL「/avatar/*」的存取。 - 34 月 Android 安全修復組,修復了 2019 個漏洞。 四個問題已被指定為嚴重嚴重程度:高通專有元件中的兩個漏洞(CVE-14073-2019、CVE-14080-2020)以及系統中的兩個漏洞(CVE-0117),這些漏洞允許在處理專門設計的外部資料時執行程式碼-XNUMX - 整數 在藍牙堆疊中, ).
來源: opennet.ru