Некалькі нядаўна выяўленых уразлівасцяў:
- Тры ўразлівасці ў вольнай сістэме аўтаматызаванага праектавання LibreCAD і бібліятэцы libdxfrw, якія дазваляюць ініцыяваць кантраляванае перапаўненне буфера і патэнцыйна дамагчыся выкананні свайго кода пры адкрыцці адмыслова аформленых файлаў у фарматах DWG і DXF. Праблемы ўхіленыя пакуль толькі ў выглядзе патчаў (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Уразлівасць (CVE-2021-41817) у метадзе Date.parse, які прадстаўляецца ў стандартнай бібліятэцы мовы Ruby. Недапрацоўкі ў рэгулярных выразах, выкарыстоўваных для разбору дат у метадзе Date.parse, могуць выкарыстоўвацца для здзяйснення DoS-нападаў, якія прыводзяць да спажывання значных рэсурсаў CPU і выдаткоўванню памяці пры апрацоўцы адмыслова аформленых дадзеных.
- Уразлівасць у платформе машыннага навучання TensorFlow (CVE-2021-41228), якая дазваляе выканаць свой код пры апрацоўцы ўтылітай saved_model_cli дадзеных атакавалага, перададзеных праз парметр «input_examples». Праблема выклікана выкарыстаннем вонкавых дадзеных пры выкліку кода функцыяй "eval". Праблема ўхіленая ў выпусках TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 і TensorFlow 2.4.4.
- Уразлівасць (CVE-2021-43331) у сістэме кіравання паштовымі рассылкамі GNU Mailman, выкліканая некарэктнай апрацоўкай некаторых тыпаў URL. Праблема дазваляе арганізаваць выкананне JavaScript-кода праз указанне спецыяльна аформленага URL на старонцы з наладамі. У Mailman таксама выяўлена яшчэ адна праблема (CVE-2021-43332), якая дазваляе карыстачу з правамі мадэратара падабраць пароль адміністратара. Праблемы ўхілены ў выпуску Mailman 2.1.36.
- Серыя ўразлівасцяў у тэкставым рэдактары Vim, якія могуць прывесці да перапаўнення буфера і патэнцыйна да выканання кода зламысніка пры адкрыцці адмыслова аформленых файлаў праз опцыю "-S" (CVE-2021-3903, CVE-2021-3872, CVE-2021-3927, CVE -2021-3928, выпраўленні - 1, 2, 3, 4).
Крыніца: opennet.ru