Duela gutxi identifikatutako hainbat ahultasun:
- LibreCAD ordenagailuz lagundutako diseinu sisteman eta libdxfrw liburutegian dauden hiru ahultasun, buffer gainezka kontrolatua abiarazteko eta DWG eta DXF fitxategiak bereziki formateatutako DXF fitxategiak irekitzean kodea exekutatzeko aukera ematen dutenak. Arazoak adabaki moduan bakarrik konpondu dira orain arte (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Ruby liburutegi estandarrean emandako Date.parse metodoko ahultasun bat (CVE-2021-41817). Date.parse metodoan datak analizatzeko erabiltzen diren esamolde erregularren akatsak DoS erasoak egiteko erabil daitezke, eta ondorioz CPU baliabide esanguratsuak eta memoria kontsumoa kontsumitzen dira bereziki formateatutako datuak prozesatzen direnean.
- TensorFlow ikaskuntza automatikoko plataforman (CVE-2021-41228) ahultasun bat, saved_model_cli utilitateak "--input_examples" parametrotik pasatako erasotzaileen datuak prozesatzen dituenean kodea exekutatzea ahalbidetzen duena. Arazoa kanpoko datuen erabilerak sortzen du "eval" funtzioarekin kodea deitzean. Arazoa TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 eta TensorFlow 2.4.4 bertsioetan konpondu da.
- GNU Mailman posta kudeatzeko sistemaren ahultasun bat (CVE-2021-43331) URL mota jakin batzuk gaizki maneiatzeak eragindakoa. Arazoak JavaScript kodearen exekuzioa antolatzeko aukera ematen du ezarpenen orrian bereziki diseinatutako URL bat zehaztuz. Mailman-en (CVE-2021-43332) beste arazo bat ere identifikatu da, eta horri esker moderatzaile-eskubideak dituen erabiltzaileak administratzailearen pasahitza asma dezake. Arazoak Mailman 2.1.36 bertsioan konpondu dira.
- Vim testu-editorearen ahultasun-multzo bat, "-S" aukeraren bidez bereziki landutako fitxategiak irekitzean, buffer gainezka eta balizko erasotzailearen kodea exekuta dezaketena (CVE-2021-3903, CVE-2021-3872, CVE-2021). -3927, CVE -2021-3928, zuzenketak - 1, 2, 3, 4).
Iturria: opennet.ru