ఇటీవల గుర్తించబడిన అనేక దుర్బలత్వాలు:
- ఉచిత LibreCAD కంప్యూటర్-ఎయిడెడ్ డిజైన్ సిస్టమ్ మరియు libdxfrw లైబ్రరీలో మూడు దుర్బలత్వాలు నియంత్రిత బఫర్ ఓవర్ఫ్లోను ట్రిగ్గర్ చేయడానికి మరియు ప్రత్యేకంగా ఫార్మాట్ చేయబడిన DWG మరియు DXF ఫైల్లను తెరిచేటప్పుడు సంభావ్యంగా కోడ్ అమలును సాధించడానికి మిమ్మల్ని అనుమతిస్తాయి. సమస్యలు ఇప్పటివరకు ప్యాచ్ల రూపంలో మాత్రమే పరిష్కరించబడ్డాయి (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- రూబీ స్టాండర్డ్ లైబ్రరీలో అందించబడిన డేట్.పార్స్ పద్ధతిలో ఒక దుర్బలత్వం (CVE-2021-41817). Date.parse పద్ధతిలో తేదీలను అన్వయించడానికి ఉపయోగించే రెగ్యులర్ ఎక్స్ప్రెషన్లలోని లోపాలు DoS దాడులను నిర్వహించడానికి ఉపయోగించబడతాయి, దీని ఫలితంగా ప్రత్యేకంగా ఫార్మాట్ చేయబడిన డేటాను ప్రాసెస్ చేస్తున్నప్పుడు ముఖ్యమైన CPU వనరుల వినియోగం మరియు మెమరీ వినియోగం జరుగుతుంది.
- టెన్సర్ఫ్లో మెషిన్ లెర్నింగ్ ప్లాట్ఫారమ్ (CVE-2021-41228)లో ఒక దుర్బలత్వం, సేవ్_మోడెల్_క్లి యుటిలిటీ “--ఇన్పుట్_ఎగ్జాంపుల్స్” పరామితి ద్వారా పంపబడిన అటాకర్ డేటాను ప్రాసెస్ చేసినప్పుడు కోడ్ని అమలు చేయడానికి అనుమతిస్తుంది. "eval" ఫంక్షన్తో కోడ్ను కాల్ చేస్తున్నప్పుడు బాహ్య డేటాను ఉపయోగించడం వల్ల సమస్య ఏర్పడుతుంది. TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 మరియు TensorFlow 2.4.4 విడుదలలలో సమస్య పరిష్కరించబడింది.
- నిర్దిష్ట రకాల URLలను తప్పుగా నిర్వహించడం వల్ల GNU మెయిల్మ్యాన్ మెయిలింగ్ మేనేజ్మెంట్ సిస్టమ్లో ఒక దుర్బలత్వం (CVE-2021-43331). సెట్టింగ్ల పేజీలో ప్రత్యేకంగా రూపొందించిన URLని పేర్కొనడం ద్వారా JavaScript కోడ్ అమలును నిర్వహించడానికి సమస్య మిమ్మల్ని అనుమతిస్తుంది. మెయిల్మ్యాన్ (CVE-2021-43332)లో మరొక సమస్య కూడా గుర్తించబడింది, ఇది మోడరేటర్ హక్కులతో వినియోగదారుని నిర్వాహకుని పాస్వర్డ్ను ఊహించడానికి అనుమతిస్తుంది. మెయిల్మ్యాన్ 2.1.36 విడుదలలో సమస్యలు పరిష్కరించబడ్డాయి.
- "-S" ఎంపిక (CVE-2021-3903, CVE-2021-3872, CVE-2021) ద్వారా ప్రత్యేకంగా రూపొందించిన ఫైల్లను తెరిచేటప్పుడు Vim టెక్స్ట్ ఎడిటర్లోని దుర్బలత్వాల శ్రేణి బఫర్ ఓవర్ఫ్లో మరియు అటాకర్ కోడ్ని సమర్థవంతంగా అమలు చేయగలదు. -3927, CVE -2021-3928, దిద్దుబాట్లు - 1, 2, 3, 4).
మూలం: opennet.ru