Sababaraha kerentanan anu nembe diidentifikasi:
- Tilu kerentanan dina sistem desain anu dibantuan komputer LibreCAD sareng perpustakaan libdxfrw anu ngamungkinkeun anjeun pikeun memicu panyangga anu dikontrol sareng berpotensi ngahontal palaksanaan kode nalika muka file DWG sareng DXF anu diformat khusus. Masalahna parantos dibereskeun dugi ka ayeuna ngan ukur dina bentuk patch (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- A kerentanan (CVE-2021-41817) dina metoda Date.parse disadiakeun dina perpustakaan baku Ruby. Cacad dina ungkapan biasa dipaké pikeun parse kaping dina metoda Date.parse bisa dipaké pikeun ngalakukeun serangan DoS, hasilna konsumsi sumberdaya CPU signifikan jeung konsumsi memori nalika ngolah data format husus.
- Kerentanan dina platform pembelajaran mesin TensorFlow (CVE-2021-41228), anu ngamungkinkeun kode dieksekusi nalika utiliti saved_model_cli ngolah data panyerang ngalangkungan parameter "--input_examples". Masalahna disababkeun ku ngagunakeun data éksternal nalika nelepon kodeu sareng fungsi "eval". Masalahna dibereskeun dina sékrési TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2, sareng TensorFlow 2.4.4.
- Kerentanan (CVE-2021-43331) dina sistem manajemen surat GNU Mailman disababkeun ku pananganan jinis URL anu teu leres. Masalahna ngamungkinkeun anjeun pikeun ngatur palaksanaan kode JavaScript ku netepkeun URL anu dirarancang khusus dina halaman setélan. Masalah anu sanés ogé parantos diidentifikasi dina Mailman (CVE-2021-43332), anu ngamungkinkeun pangguna anu gaduh hak moderator pikeun nebak sandi administrator. Masalahna parantos direngsekeun dina sékrési Mailman 2.1.36.
- Runtuyan kerentanan dina pangropéa téksu Vim anu tiasa nyababkeun mumbul panyangga sareng berpotensi palaksanaan kode panyerang nalika muka file anu didamel khusus ngalangkungan pilihan "-S" (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, koreksi - 1, 2, 3, 4).
sumber: opennet.ru