PyTorch重大层级漏洞CVE-2024-5480被通报

| 分类: AI情报 | 热度: 127 ℃

今年4月,研究人员向漏洞悬赏平台Huntr报告了开源机器学习框架PyTorch存在的重大层级漏洞CVE-2024-5480。该漏洞的CVSS风险评分达到了最高等级10分,影响所有2.2.2版以前的PyTorch版本。Huntr平台为表彰研究人员的贡献,提供了1,500美元的奖励,并于上周公布了该漏洞的详细情况。

PyTorch重大层级漏洞CVE-2024-5480被通报

漏洞详情

漏洞位于PyTorch的torch.distributed.rpc框架中。当开发者使用该框架进行远程过程调用(RPC)时,框架未能验证相关功能是否按预期执行,从而允许攻击者通过网络利用RPC调用执行Python代码,加载代码库并执行任意命令。由于该框架常用于分布式训练,如增强学习、模型并行、参数服务器训练等场景,漏洞可能影响的范围相当广泛。

漏洞成因

研究人员分析了漏洞成因:在使用多处理器执行RPC通信时,worker可以使用特定功能将函数和张量序列化打包,然后通过PythonCall传输。master节点接收并反序列化这些数据包,调用_run_function,但由于对功能调用的限制不足,攻击者可以利用Python内建功能发动远程代码执行(RCE)攻击。

概念验证

研究人员提供了概念性验证(PoC)代码,指出攻击者可能利用该漏洞远程攻击分布式训练的master节点,一旦这些节点被入侵,攻击者有机会窃取与AI相关的敏感数据。建议所有使用PyTorch的开发者立即更新到最新版本,以避免潜在的安全风险。同时,开发者应密切关注官方的安全更新和补丁,确保使用的软件环境安全。

声明: 猎游人 每天为你带来最新的游戏和硬件打折情报,帮你精心挑选值得玩的游戏,让您的钱花的更值!本站信息大部分来自于网友爆料,如果您发现了优质的游戏或好的价格,不妨爆料给我们吧(谢绝任何商业爆料)!

0条评论

Hi,您需要填写昵称和邮箱!
姓名 (必填)
邮箱 (必填)
网站

暂时木有评论