MLflow<2.9.1 存在SSTI漏洞
漏洞描述
MLflow 是用于管理机器学习生命周期的开源平台,recipes 是用于快速构建模型的框架。
MLflow 之前版本中由于直接使用 jinja2 模版引擎加载用户可控的模版配置文件构建 recipes 框架,当加载攻击者可控的恶意的配置文件时会受到SSTI注入攻击,攻击者可在远程主机执行任意代码。
2.9.1版本通过使用 SandboxedEnvironment 沙箱环境加载配置文件修复此漏洞。
漏洞名称 | MLflow<2.9.1 存在SSTI漏洞 |
---|---|
漏洞类型 | 模板注入 |
发现时间 | 2023-12-12 |
漏洞影响广度 | 小 |
MPS编号 | MPS-sv6t-fu0k |
CVE编号 | CVE-2023-6709 |
CNVD编号 | - |
影响范围
mlflow@[0.0.1, 2.9.1)
修复方案
升级mlflow到 2.9.1 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-sv6t-fu0k
https://nvd.nist.gov/vuln/detail/CVE-2023-6709
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
FileZilla Server 1.8.0 发布,开源 FTP 服务器
FileZilla Server 是一个免费开源的 FTP 和 FTPS 服务器,能够提供与服务器的安全加密连接。 FileZilla Server 1.8.0 正式发布,更新内容如下: 错误修正和小改动 自动禁止功能不再禁止因连接限制过多而无法登录的具有正确凭证的客户端 在目录列表中报告正确的 mount points 时间戳 修复了 1.8.0 中引入的回归,导致“Do not require authentication”不起作用的问题 更新说明:https://filezilla-project.org/versions.php?type=server
- 下一篇
每日一博 | 双十一弹性能力支撑 - ECI 稳定性建设
一、关于ECI 背景从2018年正式发布,ECI已经打磨了整整4个年头,如今也已经快速成长为了阿里云serverless容器的基础设施,服务着阿里内外众多的公有云客户与云产品,每天承接着数百万的弹性容器创建。 然而,ECI这些年却未参与到集团双十一大促,双十一可以说是阿里技术人的阅兵,能不能承接住双十一的流量成为了检验一个产品是否稳定可靠的重要标准。但一切都是水到渠成,就在今年,ASI开始与ECI对接,尝试让ECI承接双十一大促的弹性的30W核算力,我们都知道双十一大促对于整个阿里集团的意义,使命将至,我们必将全身心地投入到对接、压测、护航的工作中。经过长达两个多月的业务适配、压测、备战,最终完成了双十一大促的弹性容器的圆满交付。这背后,离不开ASI、ECI以及参与到其中的每一位脚踏实地、用心钻研、保驾护航的同学的努力。ECI今年首次作为集团大促弹性基础设施,根据线上数据统计,大促期间ECI弹性资源使用共计约400W核,从资源的瞬时弹性、保有规模、系统稳定性等多方面对云原生系统都是一次巨大的考验。作为底层的计算单元,ECI此次也成功顶住了双十一弹性流量洪峰的考验,在感叹serverle...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Red5直播服务器,属于Java语言的直播服务器
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS6,CentOS7官方镜像安装Oracle11G
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2全家桶,快速入门学习开发网站教程
- SpringBoot2配置默认Tomcat设置,开启更多高级功能