ProHoster > blog > internetnieuws > Kwetsbaarheden in LibreCAD, Ruby, TensorFlow, Mailman en Vim

Kwetsbaarheden in LibreCAD, Ruby, TensorFlow, Mailman en Vim

Verschillende recent geïdentificeerde kwetsbaarheden:

  • Drie kwetsbaarheden in het gratis LibreCAD computerondersteunde ontwerpsysteem en de libdxfrw-bibliotheek waarmee u een gecontroleerde bufferoverflow kunt activeren en mogelijk code kunt uitvoeren bij het openen van speciaal geformatteerde DWG- en DXF-bestanden. De problemen zijn tot nu toe alleen opgelost in de vorm van patches (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
  • Een kwetsbaarheid (CVE-2021-41817) in de Date.parse-methode in de Ruby-standaardbibliotheek. Gebreken in de reguliere expressies die worden gebruikt om datums te parseren in de Date.parse-methode kunnen worden gebruikt om DoS-aanvallen uit te voeren, wat resulteert in het verbruik van aanzienlijke CPU-bronnen en geheugengebruik bij het verwerken van speciaal opgemaakte gegevens.
  • Een kwetsbaarheid in het TensorFlow machine learning-platform (CVE-2021-41228), waardoor code kan worden uitgevoerd wanneer het save_model_cli-hulpprogramma gegevens van aanvallers verwerkt die via de parameter “--input_examples” zijn doorgegeven. Het probleem wordt veroorzaakt door het gebruik van externe gegevens bij het aanroepen van de code met de functie "eval". Het probleem is opgelost in de releases van TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 en TensorFlow 2.4.4.
  • Een kwetsbaarheid (CVE-2021-43331) in het GNU Mailman mailingbeheersysteem veroorzaakt door onjuiste verwerking van bepaalde typen URL's. Met dit probleem kunt u de uitvoering van JavaScript-code organiseren door een speciaal ontworpen URL op de instellingenpagina op te geven. Er is ook een ander probleem geïdentificeerd in Mailman (CVE-2021-43332), waardoor een gebruiker met moderatorrechten het beheerderswachtwoord kan raden. De problemen zijn opgelost in de Mailman 2.1.36 release.
  • Een reeks kwetsbaarheden in de Vim-teksteditor die kunnen leiden tot een bufferoverflow en mogelijk tot het uitvoeren van aanvallercode bij het openen van speciaal vervaardigde bestanden via de "-S"-optie (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, correcties - 1, 2, 3, 4).

Bron: opennet.ru

Voeg een reactie