-
09/04/2020
-
93
-
593 bài viết
Phát hiện lỗ hổng nghiêm trọng trong thư viện Deep Java
Lỗ hổng có mã là CVE-2024-37902 điểm CVSS 10,0 đã được phát hiện trong Deep Java Library (DJL).
Deep Java Library (DJL) là một thư viện mã nguồn mở được sử dụng rộng rãi cho các dự án học máy. Lỗ hổng này xuất phát từ cách DJL xử lý các tệp nén được sử dụng trong các mô hình deep learning. Kẻ tấn công có thể tạo ra các tệp nén có đường dẫn tuyệt đối. Điều này cho phép tin tặc ghi đè lên các tệp cấu hình, tệp thực thi hoặc thậm chí các thành phần hệ điều hành cốt lõi. Bên cạnh đó, kẻ tấn công có thể truy cập trái phép, đánh cắp dữ liệu và chiếm quyền kiểm soát toàn bộ hệ thống.
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản DJL từ phiên bản 0.1.0 đến 0.27.0, bao gồm bất kỳ tổ chức hoặc các nhân như các nhà phát triển, doanh nghiệp và các tổ chức nghiên cứu .
Người dùng DJL được khuyến cáo nâng cấp ngay lên phiên bản 0.28.0 để bảo vệ hệ thống. Hướng dẫn chi tiết và phiên bản container đã được vá lỗi có thể tìm thấy trên kho lưu trữ GitHub chính thức của DJL.
Deep Java Library (DJL) là một thư viện mã nguồn mở được sử dụng rộng rãi cho các dự án học máy. Lỗ hổng này xuất phát từ cách DJL xử lý các tệp nén được sử dụng trong các mô hình deep learning. Kẻ tấn công có thể tạo ra các tệp nén có đường dẫn tuyệt đối. Điều này cho phép tin tặc ghi đè lên các tệp cấu hình, tệp thực thi hoặc thậm chí các thành phần hệ điều hành cốt lõi. Bên cạnh đó, kẻ tấn công có thể truy cập trái phép, đánh cắp dữ liệu và chiếm quyền kiểm soát toàn bộ hệ thống.
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản DJL từ phiên bản 0.1.0 đến 0.27.0, bao gồm bất kỳ tổ chức hoặc các nhân như các nhà phát triển, doanh nghiệp và các tổ chức nghiên cứu .
Người dùng DJL được khuyến cáo nâng cấp ngay lên phiên bản 0.28.0 để bảo vệ hệ thống. Hướng dẫn chi tiết và phiên bản container đã được vá lỗi có thể tìm thấy trên kho lưu trữ GitHub chính thức của DJL.
Theo Security Online
Chỉnh sửa lần cuối: