Декілька нещодавно виявлених уразливостей:
- Три вразливості у вільній системі автоматизованого проектування LibreCAD та бібліотеці libdxfrw, що дозволяють ініціювати контрольоване переповнення буфера та потенційно досягти виконання свого коду при відкритті спеціально оформлених файлів у форматах DWG та DXF. Проблеми усунені поки що лише у вигляді патчів (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Вразливість (CVE-2021-41817) у методі Date.parse, що надається у стандартній бібліотеці мови Ruby. Недоопрацювання в регулярних виразах, що використовуються для розбору дат у методі Date.parse, можуть використовуватися для здійснення DoS-атак, що призводять до споживання значних ресурсів CPU та витрачання пам'яті при обробці спеціально оформлених даних.
- Вразливість у платформі машинного навчання TensorFlow (CVE-2021-41228), що дозволяє виконати свій код під час обробки утилітою saved_model_cli даних атакуючого, переданих через парметр «input_examples». Проблема викликана використанням зовнішніх даних під час виклику коду функцією «eval». Проблема усунена у випусках TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 та TensorFlow 2.4.4.
- Вразливість (CVE-2021-43331) у системі керування поштовими розсилками GNU Mailman, викликана некоректною обробкою деяких типів URL. Проблема дозволяє організувати виконання JavaScript-коду за допомогою спеціально оформленого URL на сторінці з налаштуваннями. У Mailman також виявлено ще одну проблему (CVE-2021-43332), що дозволяє користувачеві з правами модератора підібрати пароль адміністратора. Проблеми усунуті у випуску Mailman 2.1.36.
- Серія вразливостей у текстовому редакторі Vim, які можуть призвести до переповнення буфера та потенційно до виконання коду зловмисника при відкритті спеціально оформлених файлів через опцію «-S» (CVE-2021-3903, CVE-2021-3872, CVE-2021-3927, CVE -2021-3928, виправлення - 1, 2, 3, 4).
Джерело: opennet.ru