The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в LibreCAD, Ruby, TensorFlow, Mailman и Vim

21.11.2021 13:41

Несколько недавно выявленных уязвимостей:

  • Три уязвимости в свободной системе автоматизированного проектирования LibreCAD и библиотеке libdxfrw, позволяющие инициировать контролируемое переполнение буфера и потенциально добиться выполнения своего кода при открытии специально оформленных файлов в форматах DWG и DXF. Проблемы устранены пока только в виде патчей (CVE-2021-21898, CVE-2021-21899, CVE-2021-21900).
  • Уязвимость (CVE-2021-41817) в методе Date.parse, предоставляемом в стандартной библиотеке языка Ruby. Недоработки в регулярных выражениях, используемых для разбора дат в методе Date.parse, могут использоваться для совершения DoS-атак, приводящих к потреблению значительных ресурсов CPU и расходованию памяти при обработке специально оформленных данных.
  • Уязвимость в платформе машинного обучения TensorFlow (CVE-2021-41228), позволяющая выполнить свой код при обработке утилитой saved_model_cli данных атакующего, переданных через парметр "--input_examples". Проблема вызвана использованием внешних данных при вызове кода функцией "eval". Проблема устранена в выпусках TensorFlow 2.7.0, TensorFlow 2.6.1, TensorFlow 2.5.2 и TensorFlow 2.4.4.
  • Уязвимость (CVE-2021-43331) в системе управления почтовыми рассылками GNU Mailman, вызванная некорректной обработкой некоторых типов URL. Проблема позволяет организовать выполнение JavaScript-кода через указание специально оформленного URL на странице с настройками. В Mailman также выявлена ещё одна проблема (CVE-2021-43332), позволяющая пользователю с правами модератора подобрать пароль администратора. Проблемы устранены в выпуске Mailman 2.1.36.
  • Серия уязвимостей в текстовом редакторе Vim, которые могут привести к переполнению буфера и потенциально к выполнению кода злоумышленника при открытии специально оформленных файлов через опцию "-S" (CVE-2021-3903, CVE-2021-3872, CVE-2021-3927, CVE-2021-3928, исправления - 1, 2, 3, 4).


  1. Главная ссылка к новости (https://blog.talosintelligence...)
  2. OpenNews: Стабильный релиз свободной САПР LibreCAD 2.0
  3. OpenNews: Выпуск языка программирования Ruby 3.0
  4. OpenNews: Устранение нарушения GPL в библиотеке mimemagic привело к сбою в Ruby on Rails
  5. OpenNews: Обновление Ruby 3.0.1 с устранением уязвимостей
  6. OpenNews: Выпуск системы машинного обучения TensorFlow 2.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/56200-librecad
Ключевые слова: librecad, ruby, tensorflow, vim, mailman
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (58) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, 918 (?), 13:57, 21/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Серия уязвимостей в текстовом редакторе Vim, которые могут привести к переполнению буфера и потенциально к выполнению кода злоумышленника

    Читай за-beep-кать жертву!

     
     
  • 2.2, A.Stahl (ok), 14:04, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Vim? Для большинства людей это будет безвыходное положение.
     
     
  • 3.6, 918 (?), 14:17, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Vim?

    Oui, monsieur A.Stahl.

     
  • 3.12, Аноним (12), 15:10, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как бы ни шутили про то, что для большинства vim сложен уже на моменте выхода из него. Но не каждый и не для каждого может/нужно инициировать уязвимость.
     
     
  • 4.19, Аноним (19), 15:32, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты хочешь сказать что все уязвимости в пользователе? А ты философ, однако.  
     
  • 3.31, Аноним (31), 17:14, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Vim? Для большинства людей это будет безвыходное положение.

    пытался я выйти из этого вашего нано: он после Esc двоеточие пропускает, и вместо выхода прямо в текст попадает q! с переносом на следующую строку;
    а по ^Z пищит и в терминал не выпускает;
    как так можно?

    я уже молчу про две строки каких-то непечатных спецсимволов, которые внизу в интерфейс влезли откуда-то.

    спас killall -9 nano из соседнего терминала.
    кошмар, короче.

     
     
  • 4.39, Аноним (39), 20:29, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Бтв, это не сарказм, по большей части у меня такой же опыт нано. Ещё скопировать текст нормально невозможно.
     
  • 4.45, Аноньимъ (ok), 23:13, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуйте ne (Nice Editor)
    Первым делом его ставлю, отличная вещь.

    Ну и емакс же вроде в консоли работает? Могли бы его уже с каждым дистом по умолчанию поставлять.

     
  • 4.46, Анонн (?), 23:53, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не, ну этот уже ни в какие ворота не лезет.
    Это до чего нужно додеградировать, чтобы не смочь выйти из nano?
    Оно же прямо в футере пишет сочетания клавиш, в том числе и для Exit.
     
  • 4.54, Растоним (?), 11:16, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    очень толсто
     

  • 1.4, Аноним (19), 14:13, 21/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    LibreCAD не разрабатывается. Какое дело до этих уязвимостей кому? Тем более он сам по себе падает никакие правки ему не помогут.  
     
     
  • 2.7, Аноньимъ (ok), 14:17, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А что разрабатывается?
     
     
  • 3.8, Аноним (8), 14:23, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Vim
     
     
  • 4.44, Аноньимъ (ok), 23:11, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Vim

    Про раст забыли. Как раз в виме кодить его.

     
  • 3.16, Аноним (19), 15:27, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Даже ТензорФлоу лучше разрабатывается.  
     
     
  • 4.43, Аноньимъ (ok), 23:10, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Даже ТензорФлоу лучше разрабатывается.

    Но что на счёт софта для проектирования.
    И какой в LibreCAD фатальный недостаток, что там нужно до разрабатывать?

     
     
  • 5.48, Брат Анон (ok), 09:45, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Рассыпаются тексты-надписи. И крайне плохо дружит с русским языком. Мне проще в LibreOffice Draw рисовать, чем в LibreCAD. Даже OpenSCAD во многих аспектах лучше.
     
  • 2.9, Аноним (9), 14:34, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я правильно понимаю что "либре" альтернатив Архикаду не существует? Жаль если так. А так бы: Либре офис замена Майк офису, Либрекад замена Архикад. Какие ещё программы есть начинающиеся с Лиьре?
     
     
  • 3.11, prokoudine (ok), 15:00, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Я правильно понимаю что "либре" альтернатив Архикаду не существует?

    Неправильно понимаешь. Во FreeCAD есть активно разрабатываемые модули для архитекторов, с заточкой на использование методологии BIM.

    Параллельно развиваются BlenderBIM + Topologic + Sverchok + Homemaker + Ladybug (и сопутствующие инструменты).

     
     
  • 4.17, Аноним (19), 15:28, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если умеешь работать в Автокаде или даже в Архикаде. Фрикад это как молотком по пальцу ударить.  
     
     
  • 5.24, prokoudine (ok), 16:09, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Наверное, ты хотел сказать "в ревите", а не "в автокаде".
     
  • 4.22, Аноним (22), 16:02, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Во FreeCAD есть

    Речь так кто шла о LibreCAD

     
     
  • 5.23, prokoudine (ok), 16:08, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если пригодность софта у тебя и автора ветки определяется наличием слова "libre" в названии, а не функциональностью, то моя инфа тут, конечно, лишняя.
     
     
  • 6.33, Аноним (33), 18:04, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    НУ логика проста, если Либьре Офис замена Майкрософ Офису, то логично предположить что ЛибреКад замера Архикаду. Но это не так. Значит надо переименовать Либрекад во что-нибудь другое.
     
     
  • 7.35, prokoudine (ok), 18:26, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > НУ логика проста, если Либьре Офис замена Майкрософ Офису, то логично предположить
    > что ЛибреКад замера Архикаду. Но это не так. Значит надо переименовать
    > Либрекад во что-нибудь другое.

    Если бы других проприетарных сапров не существовало, такая логика имела бы право на существование. Но поскольку сапров много (в т.ч. с 'cad' в названии), и архикад среди них даже не самый распространенный, логика твоя не выдерживает никакой критики.

     
     
  • 8.37, Аноним (33), 18:41, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А какой из проприетарных самый популярный ... текст свёрнут, показать
     
     
  • 9.57, TormoZilla (?), 13:43, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    AutoCAD ... текст свёрнут, показать
     
  • 3.25, Ю.Т. (?), 16:18, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    QCAD, собранный из сырцов, достаточно либре?
     
     
  • 4.34, Аноним (33), 18:05, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Он умеет домики в 3д?
     
     
  • 5.36, Ю.Т. (?), 18:30, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Он умеет домики в 3д?

    Кажется, в этом разговоре смешались Автокад/Либрекад/QCAD и Архикад/?.

     
     
  • 6.38, Аноним (33), 18:52, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Изначально говорил про альтернативу Архикаду, который умеет в 3д. Думал что Либрекад такая альтернатива. Оказалось что Либрекад не альтернатива Архикаду. Он не альтернатива ничему. А логика простая. Что в каждой категории софта, берем название категории, прибавляем к ней слово либре и вуаля.
    LibreERP Enterprise Resource Planning
    LibreCRM Customer Relationship Management
    LibreCAE Computer-aided engineering
    И т.д. и т.п.
     
  • 5.49, Брат Анон (ok), 09:47, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    OpenSCAD и FreeCAD. Как вариант -- Virtual Python.
     
     
  • 6.51, prokoudine (ok), 10:41, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Архитектура
    > OpenSCAD
    > Virtual Python.

    Б-же, а ведь я когда-то давал людям такие же бессмысленные ответы.

     
     
  • 7.61, pofigist (?), 15:12, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Б-же, а ведь я когда-то давал людям такие же бессмысленные ответы.

    А потом - воспользовался визином? :)

     
     
  • 8.65, prokoudine (ok), 22:28, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    От краснoглазия, в смысле Само прошло ... текст свёрнут, показать
     
  • 7.66, Брат Анон (ok), 17:19, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Архитектура
    >> OpenSCAD
    >> Virtual Python.
    > Б-же, а ведь я когда-то давал людям такие же бессмысленные ответы.

    1. Зови меня просто: Пушкин Александр Сергеевич.
    2. Я в OpenSCAD нарисовал проект своего дома, в котором я сейчас и живу.
    3. Если человек хочет -- он ищет возможности. Если не хочет -- ищет оправдания почему не пуркуа.

     
     
  • 8.67, prokoudine (ok), 18:43, 23/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нет никакой особой доблести в том, чтобы накодерастить в опенскаде подобие кукол... текст свёрнут, показать
     
     
  • 9.68, Брат Анон (ok), 09:27, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так бы сразу и написал мне всё-равно что у вас там есть, мне интересно громко и... текст свёрнут, показать
     
     
  • 10.69, prokoudine (ok), 11:35, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ОК, продемонстрируй, что всё совсем не так ... текст свёрнут, показать
     
  • 3.52, pofigist (?), 10:57, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я вот как-то искал что-то куда более простое - нарисовать план квартиры, для того чтоб при ремонте использовать... Много чего перепробовал, но... Вообщем все опенсоурсные кады с тех пор у меня вызывают острый приступ отвращения...
     
     
  • 4.55, my_name_is_Mud (ok), 12:02, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Внезапно, я когда-то тоже задумался над таким и сделал копию своей квартиры в SweetHome. Причём там 3Д с возможностью "перемещения". Натянул на стены и полы текстуры сделанные из фоток на телефон, напихал мебели. По итогу, когда затеял ремонт и встал выбор какие обои и шторы выбирать, то я просто прошёлся по магазину, сделал фотки для текстур и потом дома спокойно выбирали семьёй лучшее сочетание. Для покупки мебели (влезет не влезет и как будет смотреться) тоже подходит вполне.
     
     
  • 5.60, pofigist (?), 15:02, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я его тоже пробовал. Насколько я помню там нельзя поправить длинну стены постфактум - то есть сначала набросал примерный план, а потом - ввел точные размеры.
     
  • 2.32, Аноним (32), 17:29, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А кто же тогда патчи подготовил? Вы неискренние - не пишите больше здесь.
     

  • 1.10, Аноним (10), 14:37, 21/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хаха, неужели vim разрабы не осилили в память? Странно, они же вроде элитка. Ну или просто мнят себя такими?
     
     
  • 2.14, Аноним (12), 15:18, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не смей осуждать эталонный код, еретик!
    Нам--изуверам-- ничего не стоит чтобы от тебя избавиться. Также как ничего не стоит и СПО заменить богомерзкие коммерческие проекты
     
     
  • 3.18, Аноним (19), 15:29, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так напиши уже свой безопасный продукт где он почему не видно? Ой может дело не в безопасности?  
     

  • 1.13, Аноним (13), 15:18, 21/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    https://archlinux.org/packages/community/x86_64/helix/
    A post-modern text editor. Built with Rust. No VimScript.
     
     
  • 2.21, Аноним (21), 15:44, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если этот ржавофил 20 лет продержится и станет классикой, то можно заменить им вим будет.
     
     
  • 3.40, Аноним (39), 21:29, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кстати, вы знали, что раст медленее питона? Даже на задаче прочитать файл построчно и напечатать кажду строку. Очевидно, что писать редакторы текста надо на питоне в таком случае.
     
     
  • 4.41, Аноним (39), 21:43, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я сравнил ещё раз. Простой вывод файла построчно на расте 1.6 в релизе и сложная логика с цветным форматированием с минимум десятком регулярок И распознаванием языка меньше 1 секунды. Кому нужен раст после этого? Профилировщик сказал, что раст проводит всё время в бесполезных проверках.
     
     
  • 5.42, Аноним (39), 21:56, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Nevermind, там батарейка инициализировалась помимо вывода текста, я забыл. Чисто вывод построчно против наполовину законченного прототипа на питоне в 10 раз быстрее, что конечно тоже не впечатляет.
     

  • 1.26, Аноним (26), 16:20, 21/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Проблема вызвана использованием внешних данных при вызове кода функцией "eval".

    Для такой копрокорпорации, как Гугл, это непростительно.

     
  • 1.47, ВыньОпух неавторизован (ok), 06:33, 22/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    LibreCAD где-то собирается с поддержкой DWG?
     
     
  • 2.50, Брат Анон (ok), 09:49, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    DFX only. Можешь посмотреть в сторону платного (для этого) QCAD. Если команда его ещё пилит.

    Для посмотреть DWG можно глянуть официальный бесплатный просмотрщик размером с ГЕКТАР)) (* лицензия на год, затем качать снова *)

     
     
  • 3.53, prokoudine (ok), 11:15, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > QCAD. Если команда его ещё пилит.

    Там один разработчик, а не команда.

    Ничто не мешает поставить LibreDWG с его конвертерами, перекидывать хоть в dxf, хоть в svg и открывать где нравится.

     
     
  • 4.59, ВыньОпух неавторизован (ok), 14:00, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ничто не мешает поставить LibreDWG с его конвертерами, перекидывать хоть в dxf,
    > хоть в svg и открывать где нравится.

    За тем исключением, что сейчас DWG сохраняют в более свежих версиях, чем LibreDWG поддерживает.

     
     
  • 5.64, prokoudine (ok), 22:27, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > За тем исключением, что сейчас DWG сохраняют в более свежих версиях, чем
    > LibreDWG поддерживает.

    Читает элементы r2018+.

     
  • 3.58, ВыньОпух неавторизован (ok), 13:53, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > DFX only. Можешь посмотреть в сторону платного (для этого) QCAD. Если команда
    > его ещё пилит.
    > Для посмотреть DWG можно глянуть официальный бесплатный просмотрщик размером с ГЕКТАР))
    > (* лицензия на год, затем качать снова *)

    Платный QCAD видел. Лучше уж взять BricsCAD.

    На сколько помню либа поддержки DWG была слегка платной.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру