最近發現的幾個漏洞:
- 免費 LibreCAD 電腦輔助設計系統和 libdxfrw 庫中存在三個漏洞,可讓您在開啟特殊格式的 DWG 和 DXF 檔案時觸發受控緩衝區溢位並可能實現程式碼執行。 到目前為止,這些問題僅以補丁的形式修復(CVE-2021-21898、CVE-2021-21899、CVE-2021-21900)。
- Ruby 標準函式庫中提供的 Date.parse 方法中存在漏洞 (CVE-2021-41817)。 Date.parse方法中用於解析日期的正規表示式存在缺陷,可用於進行DoS攻擊,導致在處理特殊格式的資料時消耗大量CPU資源和記憶體。
- TensorFlow 機器學習平台 (CVE-2021-41228) 中存在一個漏洞,該漏洞允許在 saving_model_cli 實用程式處理透過「--input_examples」參數傳遞的攻擊者資料時執行程式碼。 該問題是由於使用“eval”函數呼叫程式碼時使用外部資料引起的。 此問題已在 TensorFlow 2.7.0、TensorFlow 2.6.1、TensorFlow 2.5.2 和 TensorFlow 2.4.4 版本中修復。
- GNU Mailman 郵件管理系統中存在一個漏洞 (CVE-2021-43331),該漏洞是由於某些類型的 URL 處理不當而導致的。 此問題可讓您透過在設定頁面上指定專門設計的 URL 來組織 JavaScript 程式碼的執行。 Mailman 中也發現了另一個問題 (CVE-2021-43332),該問題允許具有版主權限的使用者猜測管理員密碼。 這些問題已在 Mailman 2.1.36 版本中解決。
- Vim 文字編輯器中存在一系列漏洞,當透過「-S」選項開啟特製檔案時,可能會導致緩衝區溢位並可能執行攻擊者程式碼(CVE-2021-3903、CVE-2021-3872、CVE-2021 ) -3927、CVE -2021-3928、更正 - 1、2、3、4)。
來源: opennet.ru