حال ہی میں نشاندہی کی گئی کئی کمزوریاں:
- مفت LibreCAD کمپیوٹر ایڈیڈ ڈیزائن سسٹم اور libdxfrw لائبریری میں تین کمزوریاں جو آپ کو ایک کنٹرول شدہ بفر اوور فلو کو متحرک کرنے اور خصوصی طور پر فارمیٹ شدہ DWG اور DXF فائلوں کو کھولتے وقت ممکنہ طور پر کوڈ پر عمل درآمد حاصل کرنے کی اجازت دیتی ہیں۔ مسائل کو اب تک صرف پیچ (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900) کی شکل میں حل کیا گیا ہے۔
- روبی معیاری لائبریری میں فراہم کردہ Date.parse طریقہ میں ایک کمزوری (CVE-2021-41817)۔ Date.parse طریقہ کار میں تاریخوں کو پارس کرنے کے لیے استعمال ہونے والے ریگولر ایکسپریشنز میں خامیوں کو DoS حملوں کو انجام دینے کے لیے استعمال کیا جا سکتا ہے، جس کے نتیجے میں خاص طور پر فارمیٹ شدہ ڈیٹا پر کارروائی کرتے وقت CPU کے اہم وسائل اور میموری کی کھپت ہوتی ہے۔
- TensorFlow مشین لرننگ پلیٹ فارم (CVE-2021-41228) میں ایک کمزوری، جو کوڈ کو اس وقت عمل میں لانے کی اجازت دیتا ہے جب saved_model_cli یوٹیلیٹی حملہ آور ڈیٹا کو "-input_examples" پیرامیٹر سے گزرتا ہے۔ کوڈ کو "eval" فنکشن کے ساتھ کال کرتے وقت یہ مسئلہ بیرونی ڈیٹا کے استعمال کی وجہ سے ہوتا ہے۔ TensorFlow 2.7.0، TensorFlow 2.6.1، TensorFlow 2.5.2، اور TensorFlow 2.4.4 کی ریلیز میں مسئلہ طے کیا گیا ہے۔
- GNU میل مین میلنگ مینجمنٹ سسٹم میں ایک کمزوری (CVE-2021-43331) مخصوص قسم کے URLs کی غلط ہینڈلنگ کی وجہ سے۔ مسئلہ آپ کو ترتیبات کے صفحہ پر خاص طور پر ڈیزائن کردہ یو آر ایل کی وضاحت کر کے JavaScript کوڈ کے عمل کو منظم کرنے کی اجازت دیتا ہے۔ میل مین (CVE-2021-43332) میں بھی ایک اور مسئلے کی نشاندہی کی گئی ہے، جو منتظم کے حقوق کے حامل صارف کو منتظم کے پاس ورڈ کا اندازہ لگانے کی اجازت دیتا ہے۔ میل مین 2.1.36 ریلیز میں مسائل حل ہو چکے ہیں۔
- Vim ٹیکسٹ ایڈیٹر میں کمزوریوں کا ایک سلسلہ جو "-S" آپشن (CVE-2021-3903, CVE-2021-3872, CVE-2021) کے ذریعے خصوصی طور پر تیار کردہ فائلوں کو کھولتے وقت بفر اوور فلو اور حملہ آور کوڈ کے ممکنہ طور پر عمل درآمد کا باعث بن سکتا ہے۔ -3927، CVE -2021-3928، تصحیحات - 1، 2، 3، 4)۔
ماخذ: opennet.ru