Számos nemrégiben azonosított sebezhetőség:
- Három sérülékenység az ingyenes LibreCAD számítógéppel segített tervezőrendszerben és a libdxfrw könyvtárban, amelyek lehetővé teszik ellenőrzött puffertúlcsordulás kiváltását, és potenciálisan kódfuttatást speciálisan formázott DWG és DXF fájlok megnyitásakor. A problémákat eddig csak javítások formájában javították (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- A Ruby szabványkönyvtárban található Date.parse metódus biztonsági rése (CVE-2021-41817). A Date.parse metódusban a dátumok elemzésére használt reguláris kifejezések hibái felhasználhatók DoS-támadások végrehajtására, amelyek jelentős CPU-erőforrás- és memóriafelhasználást eredményeznek a speciálisan formázott adatok feldolgozásakor.
- A TensorFlow gépi tanulási platform (CVE-2021-41228) biztonsági rése, amely lehetővé teszi kód futtatását, amikor a saved_model_cli segédprogram a „--input_examples” paraméteren áthaladó támadóadatokat dolgozza fel. A problémát a külső adatok használata okozza a kód "eval" funkcióval történő meghívásakor. A problémát a TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 és TensorFlow 2.4.4 kiadásai javítják.
- A GNU Mailman levelezéskezelő rendszer biztonsági rése (CVE-2021-43331), amelyet bizonyos típusú URL-ek helytelen kezelése okoz. A probléma lehetővé teszi a JavaScript kód végrehajtásának megszervezését egy speciálisan kialakított URL megadásával a beállítások oldalon. A Mailmanben (CVE-2021-43332) egy másik problémát is azonosítottak, amely lehetővé teszi a moderátorjoggal rendelkező felhasználók számára, hogy kitalálják a rendszergazdai jelszót. A problémákat a Mailman 2.1.36-os kiadása megoldotta.
- A Vim szövegszerkesztő biztonsági résének sorozata, amely puffer túlcsordulásához és potenciálisan támadókód futtatásához vezethet, amikor speciálisan kialakított fájlokat nyitnak meg a "-S" opcióval (CVE-2021-3903, CVE-2021-3872, CVE-2021). -3927, CVE -2021-3928, javítások - 1, 2, 3, 4).
Forrás: opennet.ru