最近特定されたいくつかの脆弱性:
- 無料の LibreCAD コンピュータ支援設計システムと libdxfrw ライブラリに 2021 つの脆弱性があり、これらにより、制御されたバッファ オーバーフローが引き起こされ、特別にフォーマットされた DWG および DXF ファイルを開くときにコードが実行される可能性があります。 この問題はこれまでのところパッチの形でのみ修正されています (CVE-21898-2021、CVE-21899-2021、CVE-21900-XNUMX)。
- Rubyの標準ライブラリで提供されているDate.parseメソッドに脆弱性(CVE-2021-41817)が存在します。 Date.parse メソッドで日付の解析に使用される正規表現に欠陥があると、DoS 攻撃の実行に使用される可能性があり、その結果、特殊な形式のデータを処理するときに大量の CPU リソースとメモリが消費されます。
- TensorFlow 機械学習プラットフォームの脆弱性 (CVE-2021-41228)。この脆弱性により、saved_model_cli ユーティリティが「--input_examples」パラメータを介して渡された攻撃者データを処理するときにコードが実行される可能性があります。 この問題は、「eval」関数でコードを呼び出すときに外部データを使用することが原因で発生します。 この問題は、TensorFlow 2.7.0、TensorFlow 2.6.1、TensorFlow 2.5.2、および TensorFlow 2.4.4 のリリースで修正されています。
- 特定の種類の URL の誤った処理によって引き起こされる、GNU Mailman メール管理システムの脆弱性 (CVE-2021-43331)。 この問題により、設定ページで特別に設計された URL を指定することで JavaScript コードの実行を整理できるようになります。 Mailman (CVE-2021-43332) では、モデレータ権限を持つユーザーが管理者パスワードを推測できるという別の問題も確認されています。 この問題は Mailman 2.1.36 リリースで解決されました。
- Vim テキスト エディターに一連の脆弱性があり、「-S」オプションを使用して特別に細工されたファイルを開くとバッファ オーバーフローが発生し、攻撃者コードが実行される可能性があります (CVE-2021-3903、CVE-2021-3872、CVE-2021) -3927、CVE -2021-3928、修正 - 1、2、3、4)。
出所: オープンネット.ru