Nokkrir nýlega greindir veikleikar:
- Þrjár veikleikar í opna hugbúnaðar CAD kerfinu LibreCAD og libdxfrw bókasafninu leyfa stýrða biðminniyfirflæði og hugsanlega kóðakeyrslu þegar sérhannaðar DWG og DXF skrár eru opnaðar. Þessir veikleikar hafa hingað til aðeins verið lagfærðir með uppfærslum (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Veikleiki (CVE-2021-41817) er til staðar í Date.parse aðferðinni sem er að finna í staðlabókasafninu Ruby. Veikleikar í reglulegum segðum sem notaðar eru til að greina dagsetningar í Date.parse aðferðinni er hægt að nýta til að framkvæma DoS árásir, sem leiðir til mikillar örgjörva- og minnisnotkunar við vinnslu sérsmíðaðra gagna.
- Veikleiki í vélanámsvettvangi TensorFlow (CVE-2021-41228) gerir kleift að keyra kóða þegar saved_model_cli gagnið vinnur úr gögnum sem árásaraðili hefur hafið og eru send í gegnum breytuna "--input_examples". Vandamálið stafar af notkun utanaðkomandi gagna þegar kallað er á fallið "eval". Vandamálið er lagað í TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 og TensorFlow 2.4.4.
- Veikleiki (CVE-2021-43331) í póstlistastjórnunarkerfinu GNU Mailman stafar af óviðeigandi meðhöndlun ákveðinna vefslóða. Þetta vandamál gerir kleift að keyra JavaScript kóða með því að tilgreina sérhannað vefslóð á stillingasíðunni. Annar veikleiki (CVE-2021-43332) fannst einnig í Mailman, sem gerir notanda með stjórnandaréttindi kleift að þvinga fram lykilorð stjórnanda. Þessi vandamál eru lagfærð í Mailman 2.1.36.
- Röð veikleika í Vim textaritlinum sem gætu leitt til biðminnisyfirflæðis og hugsanlega keyrslu skaðlegs kóða þegar sérsniðnar skrár eru opnaðar með -S valkostinum (CVE-2021-3903, CVE-2021-3872, CVE-2021-3927, CVE-2021-3928, uppfærslur 1, 2, 3, 4).
Heimild: opennet.ru
