Kilka ostatnio zidentyfikowanych luk:
- Trzy luki w darmowym systemie komputerowego wspomagania projektowania LibreCAD i bibliotece libdxfrw, które pozwalają wywołać kontrolowane przepełnienie bufora i potencjalnie spowodować wykonanie kodu podczas otwierania specjalnie sformatowanych plików DWG i DXF. Problemy zostały na razie naprawione jedynie w formie poprawek (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Luka (CVE-2021-41817) w metodzie Date.parse udostępnionej w standardowej bibliotece Ruby. Błędy w wyrażeniach regularnych używanych do analizowania dat w metodzie Date.parse mogą zostać wykorzystane do przeprowadzenia ataków DoS, skutkujących zużyciem znacznych zasobów procesora i pamięci podczas przetwarzania specjalnie sformatowanych danych.
- Luka w platformie uczenia maszynowego TensorFlow (CVE-2021-41228), która umożliwia wykonanie kodu, gdy narzędzie zapisane_model_cli przetworzy dane atakującego przekazane przez parametr „--input_examples”. Problem wynika z użycia danych zewnętrznych podczas wywoływania kodu za pomocą funkcji „eval”. Problem został rozwiązany w wersjach TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 i TensorFlow 2.4.4.
- Luka (CVE-2021-43331) w systemie zarządzania pocztą GNU Mailman spowodowana nieprawidłową obsługą niektórych typów adresów URL. Problem pozwala zorganizować wykonanie kodu JavaScript poprzez podanie specjalnie zaprojektowanego adresu URL na stronie ustawień. W Mailmanie (CVE-2021-43332) zidentyfikowano także inny problem, który umożliwia użytkownikowi z uprawnieniami moderatora odgadnięcie hasła administratora. Problemy zostały rozwiązane w wersji Mailman 2.1.36.
- Szereg luk w edytorze tekstu Vima, które mogą prowadzić do przepełnienia bufora i potencjalnego wykonania kodu atakującego podczas otwierania specjalnie spreparowanych plików za pomocą opcji „-S” (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, poprawki - 1, 2, 3, 4).
Źródło: opennet.ru