Vairākas nesen konstatētas ievainojamības:
- Trīs bezmaksas LibreCAD datorizētās projektēšanas sistēmas un libdxfrw bibliotēkas ievainojamības, kas ļauj aktivizēt kontrolētu bufera pārpildīšanu un, iespējams, panākt koda izpildi, atverot īpaši formatētus DWG un DXF failus. Problēmas līdz šim ir novērstas tikai ielāpu veidā (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Ievainojamība (CVE-2021-41817) metodē Date.parse, kas nodrošināta Ruby standarta bibliotēkā. Datumu parsēšanai izmantoto regulāro izteiksmju nepilnības Date.parse metodē var izmantot, lai veiktu DoS uzbrukumus, kā rezultātā tiek patērēti ievērojami CPU resursi un atmiņas patēriņš, apstrādājot īpaši formatētus datus.
- TensorFlow mašīnmācīšanās platformas (CVE-2021-41228) ievainojamība, kas ļauj izpildīt kodu, kad saved_model_cli utilīta apstrādā uzbrucēja datus, kas nodoti caur parametru “--input_examples”. Problēmu rada ārējo datu izmantošana, izsaucot kodu ar funkciju "eval". Problēma ir novērsta TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 un TensorFlow 2.4.4 laidienos.
- Ievainojamība (CVE-2021-43331) GNU Mailman pasta pārvaldības sistēmā, ko izraisa nepareiza dažu veidu URL apstrāde. Problēma ļauj organizēt JavaScript koda izpildi, iestatījumu lapā norādot īpaši izstrādātu URL. Vēl viena problēma ir konstatēta arī programmā Mailman (CVE-2021-43332), kas ļauj lietotājam ar moderatora tiesībām uzminēt administratora paroli. Problēmas ir atrisinātas Mailman 2.1.36 laidienā.
- Virkne ievainojamību Vim teksta redaktorā, kas var izraisīt bufera pārpildīšanu un potenciāli uzbrucēja koda izpildi, atverot īpaši izstrādātus failus, izmantojot opciju "-S" (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, labojumi - 1, 2, 3, 4).
Avots: opennet.ru