Várias vulnerabilidades recentemente identificadas:
- Três vulnerabilidades no sistema gratuito de design auxiliado por computador LibreCAD e na biblioteca libdxfrw que permitem acionar um buffer overflow controlado e potencialmente atingir a execução de código ao abrir arquivos DWG e DXF especialmente formatados. Os problemas foram corrigidos até agora apenas na forma de patches (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Uma vulnerabilidade (CVE-2021-41817) no método Date.parse fornecido na biblioteca padrão Ruby. Falhas nas expressões regulares usadas para analisar datas no método Date.parse podem ser usadas para realizar ataques DoS, resultando no consumo de recursos significativos da CPU e no consumo de memória ao processar dados especialmente formatados.
- Uma vulnerabilidade na plataforma de aprendizado de máquina TensorFlow (CVE-2021-41228), que permite que o código seja executado quando o utilitário save_model_cli processa dados do invasor passados pelo parâmetro “--input_examples”. O problema é causado pelo uso de dados externos ao chamar o código com a função “eval”. O problema foi corrigido nas versões do TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 e TensorFlow 2.4.4.
- Uma vulnerabilidade (CVE-2021-43331) no sistema de gerenciamento de correspondência GNU Mailman causada pelo tratamento incorreto de certos tipos de URLs. O problema permite organizar a execução do código JavaScript especificando um URL especialmente projetado na página de configurações. Outro problema também foi identificado no Mailman (CVE-2021-43332), que permite que um usuário com direitos de moderador adivinhe a senha do administrador. Os problemas foram resolvidos na versão Mailman 2.1.36.
- Uma série de vulnerabilidades no editor de texto Vim que podem levar a um buffer overflow e potencialmente à execução de código invasor ao abrir arquivos especialmente criados por meio da opção "-S" (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, correções - 1, 2, 3, 4).
Fonte: opennet.ru