Опасные уязвимости в QEMU, Node.js, Grafana и Android

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

4 июня 2020 года

Несколько недавно выявленных уязвимостей:

  • Уязвимость (CVE-2020-13765) в QEMU, которая потенциально может привести к выполнению кода с правами процесса QEMU на стороне хост-системы при загрузке в гостевой системе специально оформленного образа ядра. Проблема вызвана переполнением буфера в коде копирования содержимого ПЗУ на этапе загрузки системы и проявляется при загрузке содержимого 32-разрядного образа ядра в память. Исправление пока доступно только в форме патча.
  • Четыре уязвимости в Node.js. Уязвимости устранены в выпусках 14.4.0, 10.21.0 и 12.18.0.
  • CVE-2020-8172 - позволяет обойти проверку сертификата хоста при повторном использовании TLS-сеанса.
  • CVE-2020-8174 - потенциально позволяет добиться выполнения кода в системе из-за переполнения буфера в функциях napi_get_value_string_*(), возникающего при определённых обращениях к N-API (Си API для написания нативных дополнений).
  • CVE-2020-10531 - целочисленное переполнение в ICU (International Components for Unicode) для C/C++, которое может привести к переполнению буфера при использовании функции UnicodeString::doAppend().
  • CVE-2020-11080 - позволяет осуществить отказ в обслуживании (100% нагрузка на CPU) через передачу больших кадров "SETTINGS" при подключении по HTTP/2.
  • Уязвимость в платформе интерактивной визуализации метрик Grafana, применяемой для построения графиков наглядного мониторинга на основе различных источников данных. Ошибка в коде работы с аватарами позволяет без прохождения аутентификации инициировать отправку HTTP-запроса со стороны Grafana на любой URL и посмотреть результат этого запроса. Указанная особенность может применяться, например, для изучения внутренней сети компаний, использующих Grafana. Проблема устранена в выпусках Grafana 6.7.4 и 7.0.2. В качестве обходного пути защиты рекомендуется ограничить доступ к URL "/avatar/*" на сервере с Grafana.
  • Опубликован июньский набор исправлений проблем с безопасностью для Android, в котором устранены 34 уязвимости. Четырём проблемам присвоен критический уровень опасности: две уязвимости (CVE-2019-14073, CVE-2019-14080) в проприетарных компонентах Qualcomm) и две уязвимости в системе, позволяющие выполнить код при обработке специально оформленных внешних данных (CVE-2020-0117 - целочисленное переполнение в Bluetooth-стеке, CVE-2020-8597 - переполнение EAP в pppd).

Источники[править]

Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Опасные уязвимости в QEMU, Node.js, Grafana и Android», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Опасные_уязвимости_в_QEMU,_Node.js,_Grafana_и_Android&oldid=3581188