Bu yaxınlarda müəyyən edilmiş bir neçə zəiflik:
- Pulsuz LibreCAD kompüter dəstəkli dizayn sistemində və libdxfrw kitabxanasında üç boşluq, xüsusi formatlaşdırılmış DWG və DXF fayllarını açarkən idarə olunan bufer daşmasını işə salmağa və potensial olaraq kodun icrasına nail olmağa imkan verir. Problemlər indiyə qədər yalnız yamaqlar şəklində həll edilib (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Ruby standart kitabxanasında təmin edilmiş Date.parse metodunda zəiflik (CVE-2021-41817). Date.parse metodunda tarixləri təhlil etmək üçün istifadə edilən müntəzəm ifadələrdəki qüsurlar DoS hücumlarını həyata keçirmək üçün istifadə oluna bilər ki, bu da xüsusi formatlaşdırılmış məlumatların işlənməsi zamanı əhəmiyyətli CPU resurslarının və yaddaşın istehlakına səbəb olur.
- Saved_model_cli yardım proqramı “--input_examples” parametrindən keçən təcavüzkar məlumatlarını emal edərkən kodun icrasına imkan verən TensorFlow maşın öyrənmə platformasında (CVE-2021-41228) zəiflik. Problem "qiymətləndirmə" funksiyası ilə kodu çağırarkən xarici məlumatların istifadəsi ilə əlaqədardır. Problem TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 və TensorFlow 2.4.4 buraxılışlarında həll olunub.
- GNU Mailman poçt idarəetmə sistemindəki boşluq (CVE-2021-43331) müəyyən növ URL-lərin düzgün idarə edilməməsi nəticəsində yaranıb. Problem parametrlər səhifəsində xüsusi hazırlanmış URL göstərərək JavaScript kodunun icrasını təşkil etməyə imkan verir. Mailman-da (CVE-2021-43332) başqa bir problem də müəyyən edilmişdir ki, bu da moderator hüququ olan istifadəçiyə administrator parolunu təxmin etməyə imkan verir. Məsələlər Mailman 2.1.36 buraxılışında həll edilmişdir.
- Vim mətn redaktorunda "-S" seçimi (CVE-2021-3903, CVE-2021-3872, CVE-2021) vasitəsilə xüsusi hazırlanmış faylları açarkən buferin daşmasına və hücumçu kodunun potensial olaraq icrasına səbəb ola biləcək bir sıra boşluqlar -3927, CVE -2021-3928, düzəlişlər - 1, 2, 3, 4).
Mənbə: opennet.ru