Več nedavno ugotovljenih ranljivosti:
- Tri ranljivosti v brezplačnem sistemu za računalniško podprto načrtovanje LibreCAD in knjižnici libdxfrw, ki vam omogočajo, da sprožite nadzorovano prelivanje medpomnilnika in potencialno dosežete izvajanje kode pri odpiranju posebej oblikovanih datotek DWG in DXF. Težave so zaenkrat odpravljene le v obliki popravkov (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Ranljivost (CVE-2021-41817) v metodi Date.parse, ki je na voljo v standardni knjižnici Ruby. Napake v regularnih izrazih, ki se uporabljajo za razčlenjevanje datumov v metodi Date.parse, se lahko uporabijo za izvajanje napadov DoS, kar povzroči porabo znatnih virov procesorja in porabo pomnilnika pri obdelavi posebej oblikovanih podatkov.
- Ranljivost v platformi za strojno učenje TensorFlow (CVE-2021-41228), ki omogoča izvajanje kode, ko pripomoček saved_model_cli obdela podatke napadalca, posredovane skozi parameter »--input_examples«. Težavo povzroča uporaba zunanjih podatkov pri klicu kode s funkcijo "eval". Težava je odpravljena v izdajah TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 in TensorFlow 2.4.4.
- Ranljivost (CVE-2021-43331) v sistemu za upravljanje pošiljanja GNU Mailman, ki jo povzroča nepravilna obravnava nekaterih vrst URL-jev. Težava vam omogoča, da organizirate izvajanje kode JavaScript tako, da na strani z nastavitvami navedete posebej zasnovan URL. Druga težava je bila ugotovljena tudi v programu Mailman (CVE-2021-43332), ki omogoča uporabniku z moderatorskimi pravicami, da ugane skrbniško geslo. Težave so bile odpravljene v izdaji Mailman 2.1.36.
- Niz ranljivosti v urejevalniku besedila Vim, ki lahko privede do prepolnitve medpomnilnika in morebitne izvedbe napadalčeve kode pri odpiranju posebej oblikovanih datotek prek možnosti »-S« (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, popravki - 1, 2, 3, 4).
Vir: opennet.ru