Опасные уязвимости в QEMU, Node.js, Grafana и Android
4 июня 2020 года
Несколько недавно выявленных уязвимостей:
- Уязвимость (CVE-2020-13765) в QEMU, которая потенциально может привести к выполнению кода с правами процесса QEMU на стороне хост-системы при загрузке в гостевой системе специально оформленного образа ядра. Проблема вызвана переполнением буфера в коде копирования содержимого ПЗУ на этапе загрузки системы и проявляется при загрузке содержимого 32-разрядного образа ядра в память. Исправление пока доступно только в форме патча.
- Четыре уязвимости в Node.js. Уязвимости устранены в выпусках 14.4.0, 10.21.0 и 12.18.0.
- CVE-2020-8172 - позволяет обойти проверку сертификата хоста при повторном использовании TLS-сеанса.
- CVE-2020-8174 - потенциально позволяет добиться выполнения кода в системе из-за переполнения буфера в функциях napi_get_value_string_*(), возникающего при определённых обращениях к N-API (Си API для написания нативных дополнений).
- CVE-2020-10531 - целочисленное переполнение в ICU (International Components for Unicode) для C/C++, которое может привести к переполнению буфера при использовании функции UnicodeString::doAppend().
- CVE-2020-11080 - позволяет осуществить отказ в обслуживании (100% нагрузка на CPU) через передачу больших кадров "SETTINGS" при подключении по HTTP/2.
- Уязвимость в платформе интерактивной визуализации метрик Grafana, применяемой для построения графиков наглядного мониторинга на основе различных источников данных. Ошибка в коде работы с аватарами позволяет без прохождения аутентификации инициировать отправку HTTP-запроса со стороны Grafana на любой URL и посмотреть результат этого запроса. Указанная особенность может применяться, например, для изучения внутренней сети компаний, использующих Grafana. Проблема устранена в выпусках Grafana 6.7.4 и 7.0.2. В качестве обходного пути защиты рекомендуется ограничить доступ к URL "/avatar/*" на сервере с Grafana.
- Опубликован июньский набор исправлений проблем с безопасностью для Android, в котором устранены 34 уязвимости. Четырём проблемам присвоен критический уровень опасности: две уязвимости (CVE-2019-14073, CVE-2019-14080) в проприетарных компонентах Qualcomm) и две уязвимости в системе, позволяющие выполнить код при обработке специально оформленных внешних данных (CVE-2020-0117 - целочисленное переполнение в Bluetooth-стеке, CVE-2020-8597 - переполнение EAP в pppd).
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
