最近发现的几个漏洞:
- 开源CAD系统LibreCAD和libdxfrw库中存在三个漏洞,允许攻击者利用这些漏洞进行受控缓冲区溢出,并在打开特制的DWG和DXF文件时执行代码。目前,这些漏洞仅通过补丁程序进行了修复(CVE-2021-21898、CVE-2021-21899、CVE-2021-21900)。
- Ruby 标准库中的 Date.parse 方法存在漏洞 (CVE-2021-41817)。Date.parse 方法中用于解析日期的正则表达式存在漏洞,可被利用来执行拒绝服务 (DoS) 攻击,导致在处理特制数据时消耗大量 CPU 和内存资源。
- TensorFlow 机器学习平台存在一个漏洞 (CVE-2021-41228),允许攻击者在 saved_model_cli 工具处理通过“--input_examples”参数传递的攻击者输入的数据时执行代码。该问题是由调用“eval”函数时使用外部数据引起的。TensorFlow 2.7.0、TensorFlow 2.6.1、TensorFlow 2.5.2 和 TensorFlow 2.4.4 已修复此问题。
- GNU Mailman 邮件列表管理系统中存在一个漏洞 (CVE-2021-43331),该漏洞是由于对某些 URL 类型的处理不当造成的。攻击者可以通过在设置页面指定一个精心构造的 URL 来执行 JavaScript 代码。此外,Mailman 中还发现了另一个漏洞 (CVE-2021-43332),该漏洞允许具有版主权限的用户暴力破解管理员密码。这些漏洞已在 Mailman 2.1.36 版本中修复。
- Vim 文本编辑器中存在一系列漏洞,当使用 -S 选项打开特制文件时,可能会导致缓冲区溢出并可能执行恶意代码(CVE-2021-3903、CVE-2021-3872、CVE-2021-3927、CVE-2021-3928,补丁 1、2、3、4)。
来源: opennet.ru
