BT güvenliği araştırmacıları, PyTorch’ta bazıları kritik olan çeşitli güvenlik açıkları konusunda uyarıyor. Meta’nın TorchServe bileşeninde ve Amazon’un açık kaynaklı makine öğrenimi sisteminde, saldırganların kötü amaçlı kodları uzaktan kaçırmasına ve sunucuların tam kontrolünü ele geçirmesine olanak tanıyan sızıntılar keşfettiler. Çok büyük kuruluşlarınkiler de dahil olmak üzere, halka açık binlerce sistem etkileniyor.
Duyuru
Oligo’daki BT araştırmacıları güvenlik raporlarında TorchServe’in standart konfigürasyonunda yönetim arayüzünün ağa açık olduğunu yazıyor. Herhangi bir kimlik doğrulama biçimi olmadan herkese erişime izin verir. Kötü amaçlı bir modelin güvenli olmayan bir şekilde seri durumdan çıkarılması, ağ saldırganlarının sisteme kendi kodlarını eklemesine de olanak tanır (CVE-2022-1471, CVSS 9.9“Risk”eleştirmen“).
TorchServe: Üç boşluğun birleşimi
Başka bir güvenlik açığı, genellikle ağda gerçekten korunan kaynaklara erişime izin veren, sunucu tarafı istek sahteciliğine (SSRF) izin verir (CVE-2023-43654, CVSS). 9.8, eleştirmen). Bu, saldırganların İnternet’ten kötü amaçlı kod yerleştirmesine ve herhangi bir etki alanından yapılandırma yüklemesine olanak tanır.
Siber araştırmacılar, güvenlik açıklarının birleşiminin ağdan kötü amaçlı kod yürütülmesine ve sunucuların kontrolüne olanak sağladığını açıklıyor. Ağ üzerinde on binlerce örneğe erişilebilir ve saldırılara karşı savunmasızdır.
Amazon ve Meta, PyTorch TorchServe 0.8.2 sürümüyle güvenlik açıklarını kapatıyor. Amazon, bir güvenlik danışma belgesinde, 11 Eylül’den önce yayımlanan EC2, EKS ve ECS hizmetlerindeki PyTorch Inference Deep Learning Containers (DLC) 1.13.1, 2.0.0 veya 2.0.1 kullanıcılarının TorchServer güncellemesini yeni duruma kullanmalarını önerir. Oligo araştırmacıları, standart konfigürasyonun bazı sorunları çözmediğinden ek önlemlerin alınması gerektiğini yazıyor. Varsayılan olarak yazılım 0.0.0.0 arayüz adresini dinler. Yapılandırma dosyası güvenli ağlarla sınırlı olmalıdır.
Mart ayında PyTorch ekibi makine öğrenimi çerçevesinin 2.0 sürümünü yayınladı. Python tabanlı derlemeyle artırılmış hız.
(Bilmiyorum)
Haberin Sonu
Duyuru
Oligo’daki BT araştırmacıları güvenlik raporlarında TorchServe’in standart konfigürasyonunda yönetim arayüzünün ağa açık olduğunu yazıyor. Herhangi bir kimlik doğrulama biçimi olmadan herkese erişime izin verir. Kötü amaçlı bir modelin güvenli olmayan bir şekilde seri durumdan çıkarılması, ağ saldırganlarının sisteme kendi kodlarını eklemesine de olanak tanır (CVE-2022-1471, CVSS 9.9“Risk”eleştirmen“).
TorchServe: Üç boşluğun birleşimi
Başka bir güvenlik açığı, genellikle ağda gerçekten korunan kaynaklara erişime izin veren, sunucu tarafı istek sahteciliğine (SSRF) izin verir (CVE-2023-43654, CVSS). 9.8, eleştirmen). Bu, saldırganların İnternet’ten kötü amaçlı kod yerleştirmesine ve herhangi bir etki alanından yapılandırma yüklemesine olanak tanır.
Siber araştırmacılar, güvenlik açıklarının birleşiminin ağdan kötü amaçlı kod yürütülmesine ve sunucuların kontrolüne olanak sağladığını açıklıyor. Ağ üzerinde on binlerce örneğe erişilebilir ve saldırılara karşı savunmasızdır.
Amazon ve Meta, PyTorch TorchServe 0.8.2 sürümüyle güvenlik açıklarını kapatıyor. Amazon, bir güvenlik danışma belgesinde, 11 Eylül’den önce yayımlanan EC2, EKS ve ECS hizmetlerindeki PyTorch Inference Deep Learning Containers (DLC) 1.13.1, 2.0.0 veya 2.0.1 kullanıcılarının TorchServer güncellemesini yeni duruma kullanmalarını önerir. Oligo araştırmacıları, standart konfigürasyonun bazı sorunları çözmediğinden ek önlemlerin alınması gerektiğini yazıyor. Varsayılan olarak yazılım 0.0.0.0 arayüz adresini dinler. Yapılandırma dosyası güvenli ağlarla sınırlı olmalıdır.
Mart ayında PyTorch ekibi makine öğrenimi çerçevesinin 2.0 sürümünü yayınladı. Python tabanlı derlemeyle artırılmış hız.
(Bilmiyorum)
Haberin Sonu