Жақында анықталған бірнеше осалдықтар:
- Арнайы пішімделген DWG және DXF файлдарын ашқан кезде басқарылатын буфердің толып кетуін іске қосуға және ықтимал кодтың орындалуына қол жеткізуге мүмкіндік беретін тегін LibreCAD компьютерлік дизайн жүйесіндегі және libdxfrw кітапханасындағы үш осалдық. Мәселелер әзірге тек патчтар түрінде түзетілді (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Ruby стандартты кітапханасында берілген Date.parse әдісіндегі осалдық (CVE-2021-41817). Date.parse әдісінде күндерді талдау үшін пайдаланылатын тұрақты өрнектердегі кемшіліктер DoS шабуылдарын орындау үшін пайдаланылуы мүмкін, бұл арнайы пішімделген деректерді өңдеу кезінде маңызды процессор ресурстарын және жадты тұтынуды тудырады.
- Saved_model_cli утилитасы “--input_examples” параметрі арқылы өткен шабуылдаушы деректерін өңдеген кезде кодты орындауға мүмкіндік беретін TensorFlow машиналық оқыту платформасындағы (CVE-2021-41228) осалдық. Мәселе «бағалау» функциясы бар кодты шақыру кезінде сыртқы деректерді пайдаланудан туындайды. Мәселе TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 және TensorFlow 2.4.4 шығарылымдарында түзетілген.
- GNU Mailman пошталық жіберуді басқару жүйесіндегі осалдық (CVE-2021-43331) URL мекенжайларының белгілі бір түрлерін дұрыс өңдеуден туындаған. Мәселе параметрлер бетінде арнайы жасалған URL мекенжайын көрсету арқылы JavaScript кодының орындалуын ұйымдастыруға мүмкіндік береді. Модератор құқығы бар пайдаланушыға әкімші құпия сөзін табуға мүмкіндік беретін Mailman (CVE-2021-43332) бағдарламасында тағы бір мәселе анықталды. Мәселелер Mailman 2.1.36 шығарылымында шешілді.
- "-S" опциясы (CVE-2021-3903, CVE-2021-3872, CVE-2021) арқылы арнайы жасалған файлдарды ашу кезінде буфердің толып кетуіне және шабуылдаушы кодының ықтимал орындалуына әкелетін Vim мәтіндік редакторындағы осалдықтар қатары. -3927, CVE -2021-3928, түзетулер - 1, 2, 3, 4).
Ақпарат көзі: opennet.ru