ProHoster > Blog > Internetnachrichten > Sicherheitslücken in LibreCAD, Ruby, TensorFlow, Mailman und Vim

Sicherheitslücken in LibreCAD, Ruby, TensorFlow, Mailman und Vim

Mehrere kürzlich identifizierte Schwachstellen:

  • Drei Schwachstellen im kostenlosen computergestützten Designsystem LibreCAD und in der Bibliothek libdxfrw, die es Ihnen ermöglichen, einen kontrollierten Pufferüberlauf auszulösen und möglicherweise eine Codeausführung zu erreichen, wenn Sie speziell formatierte DWG- und DXF-Dateien öffnen. Die Probleme wurden bisher nur in Form von Patches (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900) behoben.
  • Eine Schwachstelle (CVE-2021-41817) in der Date.parse-Methode, die in der Ruby-Standardbibliothek bereitgestellt wird. Fehler in den regulären Ausdrücken, die zum Parsen von Daten in der Date.parse-Methode verwendet werden, können zur Durchführung von DoS-Angriffen genutzt werden, was bei der Verarbeitung speziell formatierter Daten zu einem erheblichen Verbrauch von CPU-Ressourcen und Speicherverbrauch führt.
  • Eine Schwachstelle in der TensorFlow-Plattform für maschinelles Lernen (CVE-2021-41228), die die Ausführung von Code ermöglicht, wenn das Dienstprogramm „saved_model_cli“ Angreiferdaten verarbeitet, die über den Parameter „--input_examples“ übergeben werden. Das Problem wird durch die Verwendung externer Daten beim Aufruf des Codes mit der Funktion „eval“ verursacht. Das Problem wurde in den Versionen TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 und TensorFlow 2.4.4 behoben.
  • Eine Schwachstelle (CVE-2021-43331) im Mailing-Verwaltungssystem GNU Mailman, die durch die falsche Verarbeitung bestimmter URL-Typen verursacht wird. Das Problem ermöglicht es Ihnen, die Ausführung von JavaScript-Code zu organisieren, indem Sie auf der Einstellungsseite eine speziell gestaltete URL angeben. Ein weiteres Problem wurde auch in Mailman (CVE-2021-43332) identifiziert, das es einem Benutzer mit Moderatorrechten ermöglicht, das Administratorkennwort zu erraten. Die Probleme wurden in der Mailman-Version 2.1.36 behoben.
  • Eine Reihe von Schwachstellen im Vim-Texteditor, die zu einem Pufferüberlauf und möglicherweise zur Ausführung von Angreifercode führen können, wenn speziell gestaltete Dateien über die Option „-S“ geöffnet werden (CVE-2021-3903, CVE-2021-3872, CVE-2021). -3927, CVE -2021-3928, Korrekturen - 1, 2, 3, 4).

Source: opennet.ru

Kommentar hinzufügen