LibreCAD, Ruby, TensorFlow, Mailman 및 Vim의 취약점

최근에 확인된 몇 가지 취약점:

• 무료 LibreCAD 컴퓨터 지원 설계 시스템과 libdxfrw 라이브러리에 있는 세 가지 취약점으로 인해 특수 형식의 DWG 및 DXF 파일을 열 때 제어된 버퍼 오버플로를 트리거하고 잠재적으로 코드 실행이 가능해집니다. 해당 문제는 지금까지 패치(CVE-2021-21898, CVE-2021-21899, CVE-2021-21900) 형태로만 수정되었습니다.
• Ruby 표준 라이브러리에서 제공되는 Date.parse 메서드의 취약점(CVE-2021-41817)입니다. Date.parse 메서드에서 날짜를 구문 분석하는 데 사용되는 정규식의 결함을 사용하여 DoS 공격을 수행할 수 있으며, 이로 인해 특수 형식의 데이터를 처리할 때 상당한 CPU 리소스와 메모리가 소모됩니다.
• 저장된_model_cli 유틸리티가 "--input_examples" 매개변수를 통해 전달된 공격자 데이터를 처리할 때 코드가 실행되도록 허용하는 TensorFlow 기계 학습 플랫폼(CVE-2021-41228)의 취약점입니다. "eval" 함수를 사용하여 코드를 호출할 때 외부 데이터를 사용하여 문제가 발생합니다. 이 문제는 TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 및 TensorFlow 2.4.4 릴리스에서 해결되었습니다.
• 특정 유형의 URL을 잘못 처리하여 발생하는 GNU Mailman 메일링 관리 시스템의 취약점(CVE-2021-43331)입니다. 이 문제를 사용하면 설정 페이지에서 특별히 설계된 URL을 지정하여 JavaScript 코드 실행을 구성할 수 있습니다. Mailman(CVE-2021-43332)에서도 중재자 권한이 있는 사용자가 관리자 비밀번호를 추측할 수 있는 또 다른 문제가 발견되었습니다. 이 문제는 Mailman 2.1.36 릴리스에서 해결되었습니다.
• "-S" 옵션을 통해 특별히 제작된 파일을 열 때 버퍼 오버플로 및 잠재적으로 공격자 코드 실행으로 이어질 수 있는 Vim 텍스트 편집기의 일련의 취약점(CVE-2021-3903, CVE-2021-3872, CVE-2021) -3927, CVE -2021-3928, 수정 사항 - 1, 2, 3, 4).

출처 : opennet.ru