facebookresearch fairseq库存在任意代码执行漏洞-低调大师

facebookresearch fairseq库存在任意代码执行漏洞

2022-11-21 465

漏洞描述

Fairseq是一个用 Python 编写的序列建模工具包。

在Fairseq中由于parse_manifest方法在解析文件时未对传入的文件进行安全过滤，导致parse_manifest方法里的eval函数可能执行恶意代码。攻击者可利用此漏洞导致任意代码执行。

漏洞名称	facebookresearch fairseq库存在任意代码执行漏洞
漏洞类型	-
发现时间	2022-11-21
漏洞影响广度	小
MPS编号	MPS-2022-65070
CVE编号	-
CNVD编号	-

影响范围

fairseq@[0.3.0, 0.12.2]

修复方案

官方暂未发布新版本或漏洞补丁，如果只需要代码在str类型上工作，只需使用str()或者使用literal_eval()方法替换即可

参考链接

https://www.oscs1024.com/hd/MPS-2022-65070

Issue、证明影响版本

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/218728

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

NPM 组件包 qywx-node等

漏洞描述当用户在安装受影响的恶意包时，用户主机的主目录路径，主机名，有效用户的信息，当前服务器的 IP 地址会被泄露。漏洞名称 NPM 组件包 qywx-node等漏洞类型内嵌恶意代码发现时间 2022-11-21 漏洞影响广度小 MPS编号 MPS-2022-64961 CVE编号 - CNVD编号 - 影响范围 qywx-node@[1.0.0, 1.0.0] 修复方案避免使用受影响的组件包。参考链接 https://www.oscs1024.com/hd/MPS-2022-64961 情报订阅 OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送： https://www.oscs1024.com/cm/?src=osc 具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

2022-11-21

479

作者：斜阳引言本文主要介绍在使用 RocketMQ 时为什么需要重试与兜底机制，生产者与消费者触发重试的条件和具体行为，如何在 RocketMQ 中合理使用重试机制，帮助构建弹性，高可用系统的最佳实践。 RocketMQ 的重试机制包括三部分，分别是生产者重试，服务端内部数据复制遇到非预期问题时重试，消费者消费重试。本文中仅讨论生产者重试和消费者消费重试两种面向用户侧的实现。生产者发送重试 RocketMQ 的生产者在发送消息到服务端时，可能会因为网络问题，服务异常等原因导致调用失败，这时候应该怎么办？如何尽可能的保证消息不丢失呢？ 1. 生产者重试次数 RocketMQ 在客户端中内置了请求重试逻辑，支持在初始化时配置消息发送最大重试次数（默认为 2 次），失败时会按照设置的重试次数重新发送。直到消息发送成功，或者达到最大重试次数时结束，并在最后一次失败后返回调用错误的响应。对于同步发送和异步发送，均支持消息发送重试。同步发送：调用线程会一直阻塞，直到某次重试成功或最终重试失败（返回错误码或抛出异常）。异步发送：调用线程不会阻塞，但调用结果会通过回调的形式，以异常事件或者成...

2022-11-22

394

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。