العديد من نقاط الضعف التي تم تحديدها مؤخرًا:
- ثلاث ثغرات أمنية في نظام التصميم المجاني بمساعدة الكمبيوتر LibreCAD ومكتبة libdxfrw التي تسمح لك بتشغيل تجاوز سعة المخزن المؤقت الذي يمكن التحكم فيه وربما تحقيق تنفيذ التعليمات البرمجية عند فتح ملفات DWG وDXF ذات تنسيق خاص. تم إصلاح المشكلات حتى الآن فقط في شكل تصحيحات (CVE-2021-21898، CVE-2021-21899، CVE-2021-21900).
- ثغرة أمنية (CVE-2021-41817) في طريقة Date.parse المتوفرة في مكتبة Ruby القياسية. يمكن استخدام العيوب في التعبيرات العادية المستخدمة لتحليل التواريخ في أسلوب Date.parse لتنفيذ هجمات DoS، مما يؤدي إلى استهلاك موارد كبيرة لوحدة المعالجة المركزية (CPU) واستهلاك الذاكرة عند معالجة البيانات المنسقة بشكل خاص.
- ثغرة أمنية في النظام الأساسي للتعلم الآلي TensorFlow (CVE-2021-41228)، والتي تسمح بتنفيذ التعليمات البرمجية عندما تقوم الأداة المساعدة save_model_cli بمعالجة بيانات المهاجم التي تم تمريرها عبر المعلمة "--input_examples". سبب المشكلة هو استخدام بيانات خارجية عند استدعاء الكود باستخدام وظيفة "التقييم". تم إصلاح المشكلة في إصدارات TensorFlow 2.7.0 وTensorFlow 2.6.1 وTensorFlow 2.5.2 وTensorFlow 2.4.4.
- ثغرة أمنية (CVE-2021-43331) في نظام إدارة البريد GNU Mailman بسبب المعالجة غير الصحيحة لأنواع معينة من عناوين URL. تسمح لك المشكلة بتنظيم تنفيذ تعليمات JavaScript البرمجية عن طريق تحديد عنوان URL مصمم خصيصًا في صفحة الإعدادات. تم أيضًا تحديد مشكلة أخرى في Mailman (CVE-2021-43332)، والتي تسمح لمستخدم لديه حقوق المشرف بتخمين كلمة مرور المسؤول. تم حل المشكلات في إصدار Mailman 2.1.36.
- سلسلة من الثغرات الأمنية في محرر النصوص Vim والتي يمكن أن تؤدي إلى تجاوز سعة المخزن المؤقت واحتمال تنفيذ تعليمات برمجية للمهاجم عند فتح ملفات مصممة خصيصًا عبر الخيار "-S" (CVE-2021-3903، CVE-2021-3872، CVE-2021) -3927، CVE -2021-3928، التصحيحات - 1، 2، 3، 4).
المصدر: opennet.ru