ProHoster > Blog > actualités internet > Vulnérabilités dans LibreCAD, Ruby, TensorFlow, Mailman et Vim

Vulnérabilités dans LibreCAD, Ruby, TensorFlow, Mailman et Vim

Plusieurs vulnérabilités récemment identifiées :

  • Trois vulnérabilités dans le système de conception assistée par ordinateur gratuit LibreCAD et la bibliothèque libdxfrw qui vous permettent de déclencher un débordement de tampon contrôlé et potentiellement d'exécuter du code lors de l'ouverture de fichiers DWG et DXF spécialement formatés. Les problèmes n'ont été résolus jusqu'à présent que sous forme de correctifs (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
  • Une vulnérabilité (CVE-2021-41817) dans la méthode Date.parse fournie dans la bibliothèque standard Ruby. Des failles dans les expressions régulières utilisées pour analyser les dates dans la méthode Date.parse peuvent être utilisées pour mener des attaques DoS, entraînant une consommation importante de ressources CPU et de mémoire lors du traitement de données spécialement formatées.
  • Une vulnérabilité dans la plateforme d'apprentissage automatique TensorFlow (CVE-2021-41228), qui permet d'exécuter du code lorsque l'utilitaire saving_model_cli traite les données de l'attaquant transmises via le paramètre « --input_examples ». Le problème est dû à l'utilisation de données externes lors de l'appel du code avec la fonction "eval". Le problème est résolu dans les versions de TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 et TensorFlow 2.4.4.
  • Une vulnérabilité (CVE-2021-43331) dans le système de gestion de messagerie GNU Mailman causée par une gestion incorrecte de certains types d'URL. Le problème vous permet d'organiser l'exécution du code JavaScript en spécifiant une URL spécialement conçue sur la page des paramètres. Un autre problème a également été identifié dans Mailman (CVE-2021-43332), qui permet à un utilisateur disposant des droits de modérateur de deviner le mot de passe administrateur. Les problèmes ont été résolus dans la version Mailman 2.1.36.
  • Une série de vulnérabilités dans l'éditeur de texte Vim pouvant entraîner un débordement de tampon et potentiellement l'exécution de code malveillant lors de l'ouverture de fichiers spécialement conçus via l'option "-S" (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, corrections -1, 2, 3, 4).

Source: opennet.ru

Ajouter un commentaire