Transformers RagRetriever 反序列化漏洞-低调大师

Transformers RagRetriever 反序列化漏洞

2023-12-21 351

漏洞描述

Transformers是一个自然语言处理（NLP）库，它提供了大量预训练的深度学习模型和用于处理文本数据的工具。

在RagRetriever模型中，存在绕过Hugging Face的pickle扫描检查，攻击者可以诱导受害用户加载恶意的pickle文件，从而进行远程代码执行和蠕虫攻击。攻击者将恶意的picklew文件保存在一个后端仓库中，并修改一个前端仓库的config.json文件中的"index_name"和"index_path"字段，使其隐式重定向到后端仓库中恶意的pickle文件，从而绕过HF的安全机制。当受害者使用RagRetriever.from_pretrained()函数下载前端仓库时，会导致远程代码执行和蠕虫攻击。

漏洞名称	Transformers RagRetriever 反序列化漏洞
漏洞类型	反序列化
发现时间	2023-12-19
漏洞影响广度	广
MPS编号	MPS-qedl-r8y7
CVE编号	CVE-2023-6730
CNVD编号	-

影响范围

transformers@(-∞, 4.36)

修复方案

将组件 transformers 升级至 4.36 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-qedl-r8y7

https://nvd.nist.gov/vuln/detail/CVE-2023-6730

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/271983

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Mlflow Jinja2 模版注入漏洞

漏洞描述 MLflow 是用于机器学习全生命周期管理的开源工具。 MLflow受影响版本中存在模版注入漏洞。在render_and_merge_yaml方法中，该函数用于渲染和合并基于Jinja2模板的YAML文件，其中使用的jinja2.Environment函数允许执行任意代码，包括系统命令。由于加载模板时未对输入进行适当的验证和过滤，攻击者可通过加载恶意的YAML文件，在远程主机执行任意代码。漏洞名称 Mlflow Jinja2 模版注入漏洞漏洞类型命令注入发现时间 2023-12-20 漏洞影响广度 - MPS编号 MPS-qdjk-tr3g CVE编号 CVE-2023-6940 CNVD编号 - 影响范围 mlflow@(-∞, 2.9.2) 修复方案将组件 mlflow 升级至 2.9.2 及以上版本参考链接 https://www.oscs1024.com/hd/MPS-qdjk-tr3g https://nvd.nist.gov/vuln/detail/CVE-2023-6940 免费情报订阅&代码安全检测 OSCS是国内首个开源软件...

2023-12-21

335

漏洞描述 SSH是流行的加密安全传输协议，可在不安全的网络中为网络服务提供安全的传输环境。 Fabian Bäumer等人发现SSH标准中的ChaCha20-Poly1305和Encrypt-then-MAC算法，存在前缀截断漏洞（Terrapin攻击）。攻击者可以在初始密钥交换期间注入任意数量的SSH消息，并在交换完成后移除相同数量的消息，从而破坏SSH扩展协商（RFC8308），降级连接安全性。漏洞利用成本高，在真实场景中被利用几率很低，但影响面较大，OpenSSH、russh、paramiko等受影响的ssh协议实现已发布补丁。漏洞名称 SSH协议前缀截断攻击(Terrapin攻击) 漏洞类型安全相关信息的截断发现时间 2023-12-19 漏洞影响广度广 MPS编号 MPS-nv0f-qtib CVE编号 CVE-2023-48795 CNVD编号 - 影响范围 russh@(-∞, 0.40.2) golang.org/x/crypto@(-∞, 0.17.0) openssh@(-∞, 9.6) libssh@(-∞, 0.9.8) libssh@[0.10.0...

2023-12-21

639

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。