最近发现的几个漏洞:
- 免费 LibreCAD 计算机辅助设计系统和 libdxfrw 库中存在三个漏洞,允许您在打开特殊格式的 DWG 和 DXF 文件时触发受控缓冲区溢出并可能实现代码执行。 到目前为止,这些问题仅以补丁的形式得到修复(CVE-2021-21898、CVE-2021-21899、CVE-2021-21900)。
- Ruby 标准库中提供的 Date.parse 方法中存在漏洞 (CVE-2021-41817)。 Date.parse方法中用于解析日期的正则表达式存在缺陷,可用于进行DoS攻击,导致在处理特殊格式的数据时消耗大量CPU资源和内存。
- TensorFlow 机器学习平台 (CVE-2021-41228) 中存在一个漏洞,该漏洞允许在 saving_model_cli 实用程序处理通过“--input_examples”参数传递的攻击者数据时执行代码。 该问题是由于使用“eval”函数调用代码时使用外部数据引起的。 该问题已在 TensorFlow 2.7.0、TensorFlow 2.6.1、TensorFlow 2.5.2 和 TensorFlow 2.4.4 版本中修复。
- GNU Mailman 邮件管理系统中存在一个漏洞 (CVE-2021-43331),该漏洞是由于某些类型的 URL 处理不当而导致的。 该问题允许您通过在设置页面上指定专门设计的 URL 来组织 JavaScript 代码的执行。 Mailman 中还发现了另一个问题 (CVE-2021-43332),该问题允许具有版主权限的用户猜测管理员密码。 这些问题已在 Mailman 2.1.36 版本中得到解决。
- Vim 文本编辑器中存在一系列漏洞,当通过“-S”选项打开特制文件时,可能会导致缓冲区溢出并可能执行攻击者代码(CVE-2021-3903、CVE-2021-3872、CVE-2021) -3927、CVE -2021-3928、更正 - 1、2、3、4)。
来源: opennet.ru