Udhaifu kadhaa uliotambuliwa hivi karibuni:
- Athari tatu katika mfumo wa usanifu usiolipishwa wa LibreCAD unaosaidiwa na kompyuta na maktaba ya libdxfrw inayokuruhusu kuanzisha utiririshaji wa bafa inayodhibitiwa na uwezekano wa kufikia utekelezaji wa msimbo unapofungua faili za DWG na DXF zilizoumbizwa mahususi. Shida zimerekebishwa hadi sasa tu kwa njia ya viraka (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Athari ya kuathiriwa (CVE-2021-41817) katika njia ya Date.changanua iliyotolewa katika maktaba ya kawaida ya Ruby. Hitilafu katika semi za kawaida zinazotumiwa kuchanganua tarehe katika mbinu ya Date.parse zinaweza kutumika kutekeleza mashambulizi ya DoS, na kusababisha matumizi ya rasilimali muhimu za CPU na matumizi ya kumbukumbu wakati wa kuchakata data iliyoumbizwa mahususi.
- Athari katika mfumo wa kujifunza wa mashine ya TensorFlow (CVE-2021-41228), ambayo inaruhusu msimbo kutekelezwa wakati utumiaji wa saved_model_cli huchakata data ya mvamizi kupita kupitia kigezo cha "--input_examples". Tatizo linasababishwa na matumizi ya data ya nje wakati wa kupiga msimbo na kazi ya "eval". Suala hili limerekebishwa katika matoleo ya TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 na TensorFlow 2.4.4.
- Athari mbaya (CVE-2021-43331) katika mfumo wa usimamizi wa utumaji barua wa GNU unaosababishwa na utunzaji usio sahihi wa aina fulani za URL. Tatizo linakuwezesha kuandaa utekelezaji wa msimbo wa JavaScript kwa kutaja URL maalum iliyoundwa kwenye ukurasa wa mipangilio. Suala jingine pia limetambuliwa katika Mailman (CVE-2021-43332), ambayo inaruhusu mtumiaji aliye na haki za msimamizi kukisia nenosiri la msimamizi. Masuala yametatuliwa katika toleo la Mailman 2.1.36.
- Msururu wa udhaifu katika kihariri cha maandishi cha Vim ambacho kinaweza kusababisha kufurika kwa bafa na uwezekano wa utekelezaji wa nambari ya mshambulizi wakati wa kufungua faili zilizoundwa mahususi kupitia chaguo la "-S" (CVE-2021-3903, CVE-2021-3872, CVE-2021). -3927, CVE -2021-3928, marekebisho - 1, 2, 3, 4).
Chanzo: opennet.ru