Жақында анықталған бірнеше осалдықтар:
- LibreCAD ашық бастапқы CAD жүйесіндегі және libdxfrw кітапханасындағы үш осалдық арнайы жасалған DWG және DXF файлдарын ашқан кезде басқарылатын буфердің толып кетуіне және ықтимал кодты орындауға мүмкіндік береді. Бұл осалдықтар әзірге тек патчтармен (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900) өңделген.
- Ruby стандартты кітапханасында берілген Date.parse әдісінде осалдық (CVE-2021-41817) бар. Date.parse әдісінде күндерді талдау үшін пайдаланылатын тұрақты өрнектердегі осалдықтар DoS шабуылдарын орындау үшін пайдаланылуы мүмкін, бұл арнайы жасалған деректерді өңдеу кезінде маңызды процессор мен жадты тұтынуға әкеледі.
- TensorFlow машиналық оқыту платформасындағы осалдық (CVE-2021-41228) saved_model_cli утилитасы "--input_examples" параметрі арқылы жіберілген шабуылдаушы бастаған деректерді өңдеген кезде кодты орындауға мүмкіндік береді. Мәселе «бағалау» функциясын шақыру кезінде сыртқы деректерді пайдаланудан туындайды. Мәселе TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 және TensorFlow 2.4.4 нұсқаларында түзетілген.
- GNU Mailman жіберулер тізімін басқару жүйесіндегі осалдық (CVE-2021-43331) белгілі бір URL түрлерін дұрыс өңдеуден туындайды. Бұл мәселе JavaScript кодын параметрлер бетінде арнайы жасалған URL мекенжайын көрсету арқылы орындауға мүмкіндік береді. Басқа осалдық (CVE-2021-43332) Mailman бағдарламасында да табылды, ол модератор артықшылықтары бар пайдаланушыға әкімші құпия сөзін дөрекі түрде қолдануға мүмкіндік береді. Бұл мәселелер Mailman 2.1.36 нұсқасында бекітілген.
- -S опциясы (CVE-2021-3903, CVE-2021-3872, CVE-2021-3927, CVE-2021-3903, CVE-2021-2021-31, патчтар) арқылы арнайы жасалған файлдарды ашу кезінде буфердің толып кетуіне және ықтимал зиянды кодтың орындалуына әкелуі мүмкін Vim мәтіндік өңдегішіндегі осалдықтар қатары.
Ақпарат көзі: opennet.ru
