Mitmed hiljuti tuvastatud haavatavused:
- Kolm turvaauku tasuta LibreCAD arvutipõhises disainisüsteemis ja libdxfrw teegis, mis võimaldavad teil käivitada kontrollitud puhvri ületäitumise ja potentsiaalselt saavutada koodi käivitamise spetsiaalse vorminguga DWG- ja DXF-failide avamisel. Probleemid on seni lahendatud vaid plaastritena (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Ruby standardteegi Date.parse meetodi haavatavus (CVE-2021-41817). Date.parse meetodis kuupäevade sõelumiseks kasutatavate regulaaravaldiste vigu saab kasutada DoS-i rünnakute läbiviimiseks, mille tulemuseks on märkimisväärse CPU ressursside ja mälukulu erivormingus andmete töötlemisel.
- TensorFlow masinõppeplatvormi (CVE-2021-41228) haavatavus, mis võimaldab koodi käivitada, kui utiliit saved_model_cli töötleb parameetri „--input_examples” kaudu edastatud ründaja andmeid. Probleemi põhjustab väliste andmete kasutamine koodi kutsumisel funktsiooniga "eval". Probleem on lahendatud versioonide TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 ja TensorFlow 2.4.4 versioonides.
- GNU Mailmani meilihaldussüsteemi haavatavus (CVE-2021-43331), mis on põhjustatud teatud tüüpi URL-ide ebaõigest käsitlemisest. Probleem võimaldab teil korraldada JavaScripti koodi täitmist, määrates seadete lehel spetsiaalselt loodud URL-i. Veel üks probleem on tuvastatud ka rakenduses Mailman (CVE-2021-43332), mis võimaldab moderaatoriõigustega kasutajal administraatori parooli ära arvata. Probleemid on lahendatud Mailmani versioonis 2.1.36.
- Vimi tekstiredaktori haavatavused, mis võivad põhjustada puhvri ületäitumist ja potentsiaalselt ründajakoodi käivitamist, kui avate spetsiaalselt loodud faile valiku "-S" kaudu (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, parandused - 1, 2, 3, 4).
Allikas: opennet.ru