Yaqinda aniqlangan bir nechta zaifliklar:
- Bepul LibreCAD kompyuter quvvatli dizayn tizimi va libdxfrw kutubxonasidagi uchta zaiflik, bu sizga boshqariladigan bufer to'lib ketishini ishga tushirish va maxsus formatlangan DWG va DXF fayllarini ochishda kod bajarilishiga erishish imkonini beradi. Muammolar hozirgacha faqat yamoqlar ko'rinishida tuzatilgan (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
- Ruby standart kutubxonasida taqdim etilgan Date.parse usulidagi zaiflik (CVE-2021-41817). Date.parse usulida sanalarni tahlil qilish uchun ishlatiladigan oddiy iboralardagi kamchiliklar DoS hujumlarini amalga oshirish uchun ishlatilishi mumkin, bu esa maxsus formatlangan ma'lumotlarni qayta ishlashda muhim protsessor resurslarini va xotirani sarflashga olib keladi.
- Saved_model_cli yordam dasturi “--input_examples” parametri orqali oʻtgan tajovuzkor maʼlumotlarini qayta ishlaganda kodni bajarishga imkon beruvchi TensorFlow mashinani oʻrganish platformasidagi (CVE-2021-41228) zaiflik. Muammo "baholash" funksiyasi bilan kodni chaqirishda tashqi ma'lumotlardan foydalanish natijasida yuzaga keladi. Muammo TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 va TensorFlow 2.4.4 versiyalarida hal qilingan.
- GNU Mailman pochta boshqaruvi tizimidagi zaiflik (CVE-2021-43331) maʼlum turdagi URL manzillari bilan notoʻgʻri ishlash natijasida yuzaga kelgan. Muammo sozlamalar sahifasida maxsus mo'ljallangan URL manzilini ko'rsatish orqali JavaScript kodining bajarilishini tashkil qilish imkonini beradi. Mailman (CVE-2021-43332) da boshqa muammo ham aniqlandi, bu moderator huquqiga ega foydalanuvchiga administrator parolini taxmin qilish imkonini beradi. Muammolar Mailman 2.1.36 versiyasida hal qilindi.
- Vim matn muharriridagi "-S" opsiyasi (CVE-2021-3903, CVE-2021-3872, CVE-2021) orqali maxsus yaratilgan fayllarni ochishda buferning to'lib ketishiga va tajovuzkor kodining potentsial bajarilishiga olib kelishi mumkin bo'lgan bir qator zaifliklar. -3927, CVE -2021-3928, tuzatishlar - 1, 2, 3, 4).
Manba: opennet.ru