ProHoster > Blog > balita sa internet > Mga kahinaan sa LibreCAD, Ruby, TensorFlow, Mailman at Vim

Mga kahinaan sa LibreCAD, Ruby, TensorFlow, Mailman at Vim

Ilang kamakailang natukoy na mga kahinaan:

  • Tatlong kahinaan sa libreng LibreCAD na computer-aided na sistema ng disenyo at ang libdxfrw library na nagbibigay-daan sa iyong mag-trigger ng kontroladong buffer overflow at potensyal na makamit ang code execution kapag binubuksan ang mga espesyal na format na DWG at DXF file. Ang mga problema ay naayos na sa ngayon lamang sa anyo ng mga patch (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
  • Isang kahinaan (CVE-2021-41817) sa Date.parse method na ibinigay sa Ruby standard library. Ang mga depekto sa mga regular na expression na ginagamit sa pag-parse ng mga petsa sa Date.parse na paraan ay maaaring gamitin upang magsagawa ng mga pag-atake ng DoS, na nagreresulta sa pagkonsumo ng makabuluhang mapagkukunan ng CPU at pagkonsumo ng memory kapag nagpoproseso ng espesyal na format na data.
  • Isang kahinaan sa TensorFlow machine learning platform (CVE-2021-41228), na nagbibigay-daan sa code na maisagawa kapag ang saved_model_cli utility ay nagpoproseso ng data ng attacker na dumaan sa parameter na "--input_examples". Ang problema ay sanhi ng paggamit ng panlabas na data kapag tumatawag sa code na may function na "eval". Naayos ang isyu sa mga release ng TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2, at TensorFlow 2.4.4.
  • Isang kahinaan (CVE-2021-43331) sa sistema ng pamamahala sa pag-mail ng GNU Mailman na sanhi ng maling pangangasiwa ng ilang uri ng mga URL. Ang problema ay nagbibigay-daan sa iyo upang ayusin ang pagpapatupad ng JavaScript code sa pamamagitan ng pagtukoy ng isang espesyal na idinisenyong URL sa pahina ng mga setting. Natukoy din ang isa pang isyu sa Mailman (CVE-2021-43332), na nagpapahintulot sa isang user na may mga karapatan sa moderator na hulaan ang password ng administrator. Ang mga isyu ay nalutas sa Mailman 2.1.36 release.
  • Isang serye ng mga kahinaan sa Vim text editor na maaaring humantong sa isang buffer overflow at potensyal na pagpapatupad ng attacker code kapag binubuksan ang mga espesyal na ginawang file sa pamamagitan ng opsyong "-S" (CVE-2021-3903, CVE-2021-3872, CVE-2021 -3927, CVE -2021-3928, mga pagwawasto - 1, 2, 3, 4).

Pinagmulan: opennet.ru

Magdagdag ng komento