Několik nedávno identifikovaných zranitelností:
- Tři zranitelnosti v bezplatném systému počítačově podporovaného navrhování LibreCAD a knihovně libdxfrw, které vám umožňují spustit řízené přetečení vyrovnávací paměti a potenciálně dosáhnout spuštění kódu při otevírání speciálně formátovaných souborů DWG a DXF. Problémy byly zatím opraveny pouze formou záplat (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Chyba zabezpečení (CVE-2021-41817) v metodě Date.parse poskytovaná ve standardní knihovně Ruby. Chyby v regulárních výrazech používaných k analýze dat v metodě Date.parse lze použít k provádění útoků DoS, což vede ke spotřebě značných zdrojů CPU a paměti při zpracování speciálně formátovaných dat.
- Chyba v platformě strojového učení TensorFlow (CVE-2021-41228), která umožňuje spuštění kódu, když obslužný program save_model_cli zpracovává data útočníka předaná přes parametr „--input_examples“. Problém je způsoben použitím externích dat při volání kódu s funkcí "eval". Problém je vyřešen ve verzích TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 a TensorFlow 2.4.4.
- Chyba zabezpečení (CVE-2021-43331) v systému správy pošty GNU Mailman způsobená nesprávným zpracováním určitých typů adres URL. Tento problém vám umožňuje organizovat provádění kódu JavaScript zadáním speciálně navržené adresy URL na stránce nastavení. Další problém byl také zjištěn v aplikaci Mailman (CVE-2021-43332), která umožňuje uživateli s právy moderátora uhodnout heslo správce. Problémy byly vyřešeny ve verzi Mailman 2.1.36.
- Řada zranitelností v textovém editoru Vim, které mohou vést k přetečení vyrovnávací paměti a potenciálnímu spuštění kódu útočníka při otevírání speciálně vytvořených souborů pomocí možnosti „-S“ (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, opravy - 1, 2, 3, 4).
Zdroj: opennet.ru