Flere nyligt identificerede sårbarheder:
- Tre sårbarheder i det gratis LibreCAD computerstøttede designsystem og libdxfrw-biblioteket, der giver dig mulighed for at udløse et kontrolleret bufferoverløb og potentielt opnå kodekørsel, når du åbner specielt formaterede DWG- og DXF-filer. Problemerne er indtil videre kun blevet rettet i form af patches (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- En sårbarhed (CVE-2021-41817) i Date.parse-metoden leveret i Ruby-standardbiblioteket. Fejl i de regulære udtryk, der bruges til at parse datoer i Date.parse-metoden, kan bruges til at udføre DoS-angreb, hvilket resulterer i forbrug af betydelige CPU-ressourcer og hukommelsesforbrug ved behandling af specielt formaterede data.
- En sårbarhed i TensorFlow-maskinelæringsplatformen (CVE-2021-41228), som gør det muligt at udføre kode, når saved_model_cli-værktøjet behandler angriberdata, der sendes gennem parameteren "--input_examples". Problemet skyldes brugen af eksterne data, når koden kaldes med "eval"-funktionen. Problemet er løst i udgivelserne af TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 og TensorFlow 2.4.4.
- En sårbarhed (CVE-2021-43331) i GNU Mailmans poststyringssystem forårsaget af forkert håndtering af visse typer URL'er. Problemet giver dig mulighed for at organisere udførelsen af JavaScript-kode ved at angive en specielt designet URL på indstillingssiden. Et andet problem er også blevet identificeret i Mailman (CVE-2021-43332), som giver en bruger med moderatorrettigheder mulighed for at gætte administratoradgangskoden. Problemerne er blevet løst i Mailman 2.1.36-udgivelsen.
- En række sårbarheder i Vim-teksteditoren, der kan føre til et bufferoverløb og potentielt eksekvering af angriberkode, når der åbnes specielt fremstillede filer via "-S"-indstillingen (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, rettelser - 1, 2, 3, 4).
Kilde: opennet.ru