• 简体中文
    • 繁体中文
  • 注册
  • 资讯猎奇 资讯猎奇 关注:20 内容:1366

    因为存有安全性缺点Google人工智能技术新项目TensorFlow彻底舍弃适用YAML

  • 查看作者
  • 打赏作者
    • 资讯猎奇
    • 由谷歌给予的开源系统深度学习人工智能技术新项目TensorFlow现阶段早已放弃为YAML给予支持,放弃缘故是再次支持YAML很有可能存有安全隐患。在最新版本中谷歌清除YAML支持以处理不会受到信赖的反序列化漏洞实行难题,此漏洞序号为CVE-2021-37678严重后果级别为高风险,得分做到9.三分,由科学研究工作人员Arjun Shibu递交给谷歌的。

      因为存有安全性缺点Google人工智能技术新项目TensorFlow彻底舍弃适用YAML

      运用漏洞能够运行随意编码:

      YAML是个易读性高些用于表述数据信息实例化的文件格式,科学研究工作人员发觉TensorFlow编码中载入 yaml.unsafe_load() 涵数,运用缺点网络攻击可以在应用软件反序列化以YAML文件格式带来的Keras实体模型时实行随意编码,当应用软件载入来源于不真正来源的文件格式不正确或故意数据信息时一般 便会产生反序列化漏洞。

      而TensorFlow中的反序列化漏洞很有可能会造成 DoS拒绝服务攻击提供,更糟心的时运用此漏洞乃至能够运行随意编码,这也是这枚漏洞的得分做到9.三分(100分10分)的缘故。因此谷歌早已将TensorFlow及其Keras新项目的YAML分析给停用,为此处理不确定性的安全隐患。

      unsafe_load涵数能够非常随意地反序列化YAML数据信息,可分析全部标识即便 是这些已经知道的不会受到信赖的标识。理想化情况下unsafe_load应当只在来源于可靠来源且沒有其他故意內容的键入上启用,但网络攻击还可以运用反序列化体制根据在并未实例化的YAML数据信息中引入故意负荷来实行网络攻击要想运行的编码。

      科学研究工作人员给予的PoC编码:

      from tensorflow.keras import models
      payload = '''
      !!python/object/new:type
      args: ['z', !!python/tuple [], {'extend': !!python/name:exec }]
      listitems: "._import._('os').system('cat /etc/passwd')"
      '''
      models.model_from_yaml(payload)

      放弃支持YAML全方位转为JSON:

      科学研究工作人员向谷歌通告漏洞后,TensorFlow的维护者决策彻底放弃YAML的应用全方位转为JSON反序列化。维护者表明:由于YAML文件格式支持必须大量的工作中,因而我们决定将其删掉。这名维护者还举例说明YAML造成的别的漏洞和修补实例。维护者提议开发人员们应用JSON反序列化而不是YAML,或是更强的代替计划方案H5实例化。

      特别注意的是TensorFlow并不是唯一一个应用YAML unsafe_load涵数的新项目,在Github上查找还可以看到很多Python新项目应用这一不安全的涵数。由于潜在性安全隐患这种工程都应当立即处理此难题,而对应用这种工程的开发人员而言也应当确保安全。

      此外TensorFlow预估将在2.6.0版中处理漏洞也就是清除YAML支持,先前版本号中2.5.1、2.4.3、2.3.4版也将得到修补,请应用该项目地开发人员们立即升級最新版。

      文中来源 蓝点网,由 PK技术网 梳理编写,其版权均为 原网站地址 全部,文章系创作者个人见解,不意味着 PK技术网 对见解赞成或支持。如需转截,请标明文章内容来源。

      请登录之后再进行评论

      登录
    • 做任务
    • 偏好设置
    • 到底部
    • 帖子间隔 侧栏位置: