چندین آسیب پذیری اخیراً شناسایی شده:
- سه آسیبپذیری در سیستم طراحی به کمک رایانه رایگان LibreCAD و کتابخانه libdxfrw که به شما امکان میدهد یک سرریز بافر کنترلشده را راهاندازی کنید و بهطور بالقوه اجرای کد را هنگام باز کردن فایلهای DWG و DXF با فرمت خاص انجام دهید. مشکلات تاکنون فقط در قالب وصله ها (CVE-2021-21898، CVE-2021-21899، CVE-2021-21900) برطرف شده است.
- یک آسیب پذیری (CVE-2021-41817) در روش Date.parse ارائه شده در کتابخانه استاندارد روبی. نقص در عبارات منظم مورد استفاده برای تجزیه تاریخ ها در روش Date.parse می تواند برای انجام حملات DoS مورد استفاده قرار گیرد که منجر به مصرف منابع قابل توجه CPU و مصرف حافظه در هنگام پردازش داده های فرمت شده خاص می شود.
- یک آسیبپذیری در پلتفرم یادگیری ماشینی TensorFlow (CVE-2021-41228)، که اجازه میدهد زمانی که ابزار saved_model_cli دادههای مهاجم را که از پارامتر «--input_examples» ارسال میشود، کد اجرا شود. این مشکل به دلیل استفاده از داده های خارجی هنگام فراخوانی کد با تابع "eval" است. این مشکل در نسخههای TensorFlow 2.7.0، TensorFlow 2.6.1، TensorFlow 2.5.2 و TensorFlow 2.4.4 برطرف شده است.
- یک آسیبپذیری (CVE-2021-43331) در سیستم مدیریت پستی GNU Mailman که ناشی از مدیریت نادرست انواع خاصی از URLها است. این مشکل به شما امکان می دهد تا اجرای کد جاوا اسکریپت را با تعیین یک URL طراحی شده خاص در صفحه تنظیمات سازماندهی کنید. مشکل دیگری نیز در Mailman (CVE-2021-43332) شناسایی شده است که به کاربر با حقوق ناظم اجازه می دهد رمز عبور مدیر را حدس بزند. مشکلات در نسخه Mailman 2.1.36 حل شده است.
- مجموعهای از آسیبپذیریها در ویرایشگر متن Vim که میتواند منجر به سرریز بافر و اجرای بالقوه کد مهاجم هنگام باز کردن فایلهای ساختهشده خاص از طریق گزینه «-S» شود (CVE-2021-3903، CVE-2021-3872، CVE-2021). -3927، CVE -2021-3928، اصلاحات - 1، 2، 3، 4).
منبع: opennet.ru