Keletas neseniai nustatytų pažeidžiamumų:
- Trys nemokamos LibreCAD kompiuterinio projektavimo sistemos ir libdxfrw bibliotekos pažeidžiamumai, leidžiantys suaktyvinti valdomą buferio perpildymą ir potencialiai pasiekti kodo vykdymą atidarant specialiai suformatuotus DWG ir DXF failus. Problemos iki šiol buvo išspręstos tik pataisų pavidalu (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Date.parse metodo pažeidžiamumas (CVE-2021-41817), pateiktas Ruby standartinėje bibliotekoje. Reguliariųjų išraiškų, naudojamų datoms analizuoti Date.parse metodu, trūkumai gali būti naudojami DoS atakoms vykdyti, todėl apdorojant specialiai suformatuotus duomenis sunaudojama daug procesoriaus išteklių ir sunaudojama atminties.
- TensorFlow mašininio mokymosi platformos (CVE-2021-41228) pažeidžiamumas, leidžiantis vykdyti kodą, kai programa saved_model_cli apdoroja užpuoliko duomenis, perduodamus per parametrą „--input_examples“. Problemą sukelia išorinių duomenų naudojimas iškviečiant kodą su funkcija "eval". Problema išspręsta TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 ir TensorFlow 2.4.4 leidimuose.
- GNU Mailman laiškų valdymo sistemos pažeidžiamumas (CVE-2021-43331), atsiradęs dėl netinkamo tam tikrų tipų URL tvarkymo. Problema leidžia organizuoti JavaScript kodo vykdymą nustatymų puslapyje nurodant specialiai sukurtą URL. Kita problema taip pat nustatyta Mailman (CVE-2021-43332), kuri leidžia vartotojui, turinčiam moderatoriaus teises, atspėti administratoriaus slaptažodį. Problemos buvo išspręstos Mailman 2.1.36 leidime.
- Daugybė Vim teksto rengyklės pažeidžiamumų, dėl kurių gali būti perpildytas buferis ir gali būti vykdomas užpuoliko kodas atidarant specialiai sukurtus failus naudojant parinktį „-S“ (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, pataisymai - 1, 2, 3, 4).
Šaltinis: opennet.ru