Flera nyligen identifierade sårbarheter:
- Tre sårbarheter i det kostnadsfria LibreCAD datorstödda designsystemet och libdxfrw-biblioteket som låter dig utlösa ett kontrollerat buffertspill och potentiellt uppnå kodexekvering när du öppnar speciellt formaterade DWG- och DXF-filer. Problemen har hittills endast åtgärdats i form av patchar (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- En sårbarhet (CVE-2021-41817) i Date.parse-metoden som tillhandahålls i Ruby standardbibliotek. Brister i de reguljära uttryck som används för att analysera datum i metoden Date.parse kan användas för att utföra DoS-attacker, vilket resulterar i förbrukning av betydande CPU-resurser och minnesförbrukning vid bearbetning av speciellt formaterad data.
- En sårbarhet i TensorFlows maskininlärningsplattform (CVE-2021-41228), som gör att kod kan exekveras när verktyget saved_model_cli bearbetar angripardata som passerat genom parametern "--input_examples". Problemet orsakas av användning av extern data när koden anropas med "eval"-funktionen. Problemet är åtgärdat i utgåvorna av TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 och TensorFlow 2.4.4.
- En sårbarhet (CVE-2021-43331) i GNU Mailmans e-posthanteringssystem orsakad av felaktig hantering av vissa typer av webbadresser. Problemet gör att du kan organisera körningen av JavaScript-kod genom att ange en speciellt designad URL på inställningssidan. Ett annat problem har också identifierats i Mailman (CVE-2021-43332), som tillåter en användare med moderatorrättigheter att gissa administratörslösenordet. Problemen har lösts i Mailman 2.1.36-versionen.
- En serie sårbarheter i Vim-textredigeraren som kan leda till ett buffertspill och potentiellt exekvering av angriparkod när man öppnar specialgjorda filer via alternativet "-S" (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, korrigeringar - 1, 2, 3, 4).
Källa: opennet.ru