ช่องโหว่ที่ระบุล่าสุดหลายประการ:
- ช่องโหว่สามประการในระบบการออกแบบที่ใช้คอมพิวเตอร์ช่วย LibreCAD ฟรีและไลบรารี libdxfrw ที่ช่วยให้คุณสามารถทริกเกอร์บัฟเฟอร์ล้นที่ควบคุมได้ และอาจบรรลุผลสำเร็จในการเรียกใช้โค้ดเมื่อเปิดไฟล์ DWG และ DXF ที่จัดรูปแบบพิเศษ จนถึงตอนนี้ปัญหาได้รับการแก้ไขแล้วในรูปแบบของแพตช์เท่านั้น (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900)
- ช่องโหว่ (CVE-2021-41817) ในเมธอด Date.parse ที่ให้ไว้ในไลบรารีมาตรฐาน Ruby ข้อบกพร่องในนิพจน์ทั่วไปที่ใช้ในการแยกวิเคราะห์วันที่ในวิธี Date.parse สามารถใช้เพื่อดำเนินการโจมตี DoS ส่งผลให้มีการใช้ทรัพยากร CPU จำนวนมากและการใช้หน่วยความจำเมื่อประมวลผลข้อมูลที่จัดรูปแบบพิเศษ
- ช่องโหว่ในแพลตฟอร์มการเรียนรู้ของเครื่อง TensorFlow (CVE-2021-41228) ซึ่งอนุญาตให้เรียกใช้โค้ดเมื่อยูทิลิตี save_model_cli ประมวลผลข้อมูลของผู้โจมตีที่ส่งผ่านพารามิเตอร์ “--input_examples” ปัญหาเกิดจากการใช้ข้อมูลภายนอกเมื่อเรียกโค้ดด้วยฟังก์ชัน "eval" ปัญหานี้ได้รับการแก้ไขแล้วใน TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 และ TensorFlow 2.4.4
- ช่องโหว่ (CVE-2021-43331) ในระบบการจัดการการส่งจดหมายของ GNU Mailman ที่เกิดจากการจัดการ URL บางประเภทไม่ถูกต้อง ปัญหานี้ทำให้คุณสามารถจัดระเบียบการเรียกใช้โค้ด JavaScript โดยระบุ URL ที่ออกแบบมาเป็นพิเศษในหน้าการตั้งค่า ปัญหาอื่นยังได้รับการระบุใน Mailman (CVE-2021-43332) ซึ่งอนุญาตให้ผู้ใช้ที่มีสิทธิ์ผู้ดูแลสามารถเดารหัสผ่านผู้ดูแลระบบได้ ปัญหาได้รับการแก้ไขแล้วในรุ่น Mailman 2.1.36
- ชุดช่องโหว่ในโปรแกรมแก้ไขข้อความ Vim ที่สามารถนำไปสู่การบัฟเฟอร์ล้นและอาจเรียกใช้โค้ดของผู้โจมตีเมื่อเปิดไฟล์ที่สร้างขึ้นเป็นพิเศษผ่านตัวเลือก "-S" (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, การแก้ไข - 1, 2, 3, 4)
ที่มา: opennet.ru