ProHoster > Blog > internet nuus > Kwesbaarhede in LibreCAD, Ruby, TensorFlow, Mailman en Vim

Kwesbaarhede in LibreCAD, Ruby, TensorFlow, Mailman en Vim

Verskeie onlangs geïdentifiseerde kwesbaarhede:

  • Drie kwesbaarhede in die gratis LibreCAD rekenaargesteunde ontwerpstelsel en die libdxfrw-biblioteek wat jou toelaat om 'n beheerde bufferoorloop te aktiveer en moontlik kode-uitvoering te bewerkstellig wanneer spesiaal geformateerde DWG- en DXF-lêers oopgemaak word. Die probleme is tot dusver net opgelos in die vorm van pleisters (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
  • 'n Kwesbaarheid (CVE-2021-41817) in die Date.parse-metode wat in die Ruby-standaardbiblioteek verskaf word. Foute in die gereelde uitdrukkings wat gebruik word om datums te ontleed in die Date.parse-metode kan gebruik word om DoS-aanvalle uit te voer, wat lei tot die verbruik van aansienlike SVE-hulpbronne en geheueverbruik wanneer spesiaal geformateerde data verwerk word.
  • 'n Kwesbaarheid in die TensorFlow-masjienleerplatform (CVE-2021-41228), wat dit moontlik maak om kode uit te voer wanneer die saved_model_cli-nutsprogram aanvallerdata verwerk wat deur die "--input_examples"-parameter gaan. Die probleem word veroorsaak deur die gebruik van eksterne data wanneer die kode met die "eval"-funksie gebel word. Die probleem is opgelos in die vrystellings van TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 en TensorFlow 2.4.4.
  • 'n Kwesbaarheid (CVE-2021-43331) in die GNU Mailman-posbestuurstelsel wat veroorsaak word deur die verkeerde hantering van sekere soorte URL's. Die probleem laat jou toe om die uitvoering van JavaScript-kode te organiseer deur 'n spesiaal ontwerpte URL op die instellingsbladsy te spesifiseer. Nog 'n probleem is ook geïdentifiseer in Mailman (CVE-2021-43332), wat 'n gebruiker met moderatorregte toelaat om die administrateurwagwoord te raai. Die probleme is opgelos in die Mailman 2.1.36-vrystelling.
  • 'n Reeks kwesbaarhede in die Vim-teksredigeerder wat kan lei tot 'n bufferoorloop en moontlike uitvoering van aanvallerkode wanneer spesiaal vervaardigde lêers via die "-S"-opsie oopgemaak word (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, regstellings - 1, 2, 3, 4).

Bron: opennet.ru

Voeg 'n opmerking