性爱有声小说在线收听,玄幻小说排行榜完本

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

TensorFlow因代碼執(zhí)行漏洞將棄用YAML，推薦開發(fā)者改用JSON

Tensorflow 是一個基于 Python 的機器學習和人工智能項目，該項目由 Google 開發(fā)。近日 TensorFlow 已經(jīng)放棄了對 YAML 的支持，以修復一個關(guān)鍵的代碼執(zhí)行漏洞。

YAML 或 YAML Ain't Markup Language 是一種人類可讀的數(shù)據(jù)序列化語言，用于在進程和應(yīng)用程序之間傳遞對象和存儲數(shù)據(jù)，許多 Python 應(yīng)用程序都使用 YAML 來序列化和反序列化對象。

該漏洞的 CVE ID 為 CVE-2021-37678。TensorFlow 和 Keras(TensorFlow 的一個封裝項目)的維護者表示，該漏洞源于對 YAML 的不安全解析，漏洞會在應(yīng)用程序反序列化以 YAML 格式提供的 Keras 模型時，使攻擊者可以執(zhí)行任意代碼。反序列化漏洞通常發(fā)生在應(yīng)用程序讀取來自非真實來源的不良或惡意數(shù)據(jù)時。

這個 YAML 反序列化漏洞的嚴重程度被評為 9.3 級，由安全研究員 Arjun Shibu 報告給 TensorFlow 維護者。

這個漏洞的來源是 TensorFlow 代碼中臭名昭著的 "yaml.unsafe_load()" 函數(shù)。

安全研究員 Arjun Shibu 表示，"我在 TensorFlow 中搜索了 Pickle 和 PyYAML 的反序列化模式，令人驚訝的是，我發(fā)現(xiàn)了對危險函數(shù) yaml.unsafe_load() 的調(diào)用。"

眾所周知，"unsafe_load" 函數(shù)可以對 YAML 數(shù)據(jù)進行相當自由的反序列化 —— 它解析了所有的標簽，即使是那些不受信任的輸入上已知不安全的標簽。該函數(shù)直接加載 YAML 輸入而不對其進行清理，這使得使用惡意代碼注入數(shù)據(jù)成為可能。

序列化的使用在機器學習應(yīng)用中非常普遍。訓練模型是一個昂貴且緩慢的過程。因此，開發(fā)人員經(jīng)常使用預(yù)先訓練好的模型，這些模型已經(jīng)存儲在 YAML 或 TensorFlow 等 ML 庫支持的其他格式中。

在該漏洞被披露后，TensorFlow 的維護者決定完全放棄對 YAML 的支持，而使用 JSON 進行反序列化。值得注意的是，TensorFlow 并不是第一個、也不是唯一一個被發(fā)現(xiàn)使用 YAML unsafe_load 的項目。該函數(shù)的使用在 Python 項目中是相當普遍的。

TensorFlow 的維護者表示，CVE-2021-37678 漏洞將于 TensorFlow 2.6.0 版本的更新中進行修復，并且還將被回傳到之前的 2.5.1、2.4.3 和 2.3.4 版本。自年初以來，Google 已經(jīng)在 TensorFlow 上修復了 100 多個安全漏洞。

本文轉(zhuǎn)自O(shè)SCHINA

本文標題：TensorFlow 因代碼執(zhí)行漏洞將棄用 YAML，推薦開發(fā)者改用 JSON

本文地址：https://www.oschina.net/news/159014/deserialization-bug-in-tensorflow

分享題目：TensorFlow因代碼執(zhí)行漏洞將棄用YAML，推薦開發(fā)者改用JSON
文章網(wǎng)址：http://fisionsoft.com.cn/article/dhhihgh.html

新聞中心

其他資訊