Beberapa kelemahan yang dikenal pasti baru-baru ini:
- Tiga kelemahan dalam sistem reka bentuk bantuan komputer LibreCAD percuma dan perpustakaan libdxfrw yang membolehkan anda mencetuskan limpahan penimbal terkawal dan berpotensi mencapai pelaksanaan kod apabila membuka fail DWG dan DXF yang diformat khas. Masalahnya telah dibetulkan setakat ini hanya dalam bentuk tampalan (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Kerentanan (CVE-2021-41817) dalam kaedah Date.parse yang disediakan dalam pustaka standard Ruby. Kelemahan dalam ungkapan biasa yang digunakan untuk menghuraikan tarikh dalam kaedah Date.parse boleh digunakan untuk menjalankan serangan DoS, mengakibatkan penggunaan sumber CPU dan penggunaan memori yang ketara semasa memproses data yang diformat khas.
- Kerentanan dalam platform pembelajaran mesin TensorFlow (CVE-2021-41228), yang membenarkan kod dilaksanakan apabila utiliti saved_model_cli memproses data penyerang melalui parameter "--input_examples". Masalahnya disebabkan oleh penggunaan data luaran apabila memanggil kod dengan fungsi "eval". Isu ini diselesaikan dalam keluaran TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 dan TensorFlow 2.4.4.
- Kerentanan (CVE-2021-43331) dalam sistem pengurusan mel GNU Mailman yang disebabkan oleh pengendalian yang salah bagi jenis URL tertentu. Masalahnya membolehkan anda mengatur pelaksanaan kod JavaScript dengan menentukan URL yang direka khas pada halaman tetapan. Isu lain juga telah dikenal pasti dalam Mailman (CVE-2021-43332), yang membolehkan pengguna dengan hak penyederhana meneka kata laluan pentadbir. Isu telah diselesaikan dalam keluaran Mailman 2.1.36.
- Satu siri kelemahan dalam editor teks Vim yang boleh menyebabkan limpahan penimbal dan berkemungkinan melaksanakan kod penyerang apabila membuka fail yang dibuat khas melalui pilihan "-S" (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, pembetulan - 1, 2, 3, 4).
Sumber: opennet.ru
