Niekoľko nedávno identifikovaných zraniteľností:
- Tri zraniteľnosti v bezplatnom počítačom podporovanom dizajnovom systéme LibreCAD a knižnici libdxfrw, ktoré vám umožňujú spustiť kontrolované pretečenie vyrovnávacej pamäte a potenciálne dosiahnuť spustenie kódu pri otváraní špeciálne naformátovaných súborov DWG a DXF. Problémy boli odstránené zatiaľ len formou záplat (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Chyba zabezpečenia (CVE-2021-41817) v metóde Date.parse poskytnutej v štandardnej knižnici Ruby. Chyby v regulárnych výrazoch používaných na analýzu dátumov v metóde Date.parse možno použiť na vykonávanie útokov DoS, čo vedie k spotrebe značných zdrojov CPU a spotreby pamäte pri spracovaní špeciálne naformátovaných údajov.
- Zraniteľnosť v platforme strojového učenia TensorFlow (CVE-2021-41228), ktorá umožňuje spustenie kódu, keď obslužný program save_model_cli spracuje údaje o útočníkovi prenesené cez parameter „--input_examples“. Problém je spôsobený použitím externých dát pri volaní kódu s funkciou „eval“. Problém je vyriešený vo vydaniach TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 a TensorFlow 2.4.4.
- Zraniteľnosť (CVE-2021-43331) v systéme správy pošty GNU Mailman spôsobená nesprávnym spracovaním určitých typov adries URL. Problém vám umožňuje zorganizovať vykonávanie kódu JavaScript zadaním špeciálne navrhnutej adresy URL na stránke nastavení. Ďalší problém bol tiež identifikovaný v programe Mailman (CVE-2021-43332), ktorý umožňuje používateľovi s právami moderátora uhádnuť heslo správcu. Problémy boli vyriešené vo vydaní Mailman 2.1.36.
- Séria zraniteľností v textovom editore Vim, ktoré môžu viesť k pretečeniu vyrovnávacej pamäte a potenciálne spusteniu kódu útočníka pri otváraní špeciálne vytvorených súborov prostredníctvom možnosti „-S“ (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, opravy - 1, 2, 3, 4).
Zdroj: opennet.ru