Father
Professional
- Messages
- 2,602
- Reaction score
- 757
- Points
- 113
В пакете Python llama_cpp_python обнаружен критический недостаток безопасности, который может быть использован злоумышленниками для выполнения произвольного кода.
Ошибка, отслеживаемая как CVE-2024-34359 (оценка CVSS: 9,7), получила кодовое название Llama Drama от компании Checkmarx, занимающейся безопасностью цепочки поставок программного обеспечения.
"Если его использовать, это может позволить злоумышленникам выполнять произвольный код в вашей системе, ставя под угрозу данные и операции", - сказал исследователь безопасности Гай Нахшон.
llama_cpp_python, привязка к Python для llama.cpp библиотека, это популярный пакет с более чем 3 миллионами загрузок на сегодняшний день, позволяющий разработчикам интегрировать модели искусственного интеллекта с Python.
Исследователю безопасности Патрику Пенгу (retr0reg) приписывают обнаружение и сообщение об ошибке, которая была устранена в версии 0.2.72.
Основная проблема связана с неправильным использованием шаблонизатора Jinja2 в пакете llama_cpp_python, позволяющем внедрять шаблоны на стороне сервера, что приводит к удаленному выполнению кода с помощью специально созданной полезной нагрузки.
"Использование этой уязвимости может привести к несанкционированным действиям злоумышленников, включая кражу данных, компрометацию системы и нарушение работы", - сказал Checkmarx.
"Обнаружение CVE-2024-34359 служит суровым напоминанием об уязвимостях, которые могут возникнуть при слиянии искусственного интеллекта и безопасности цепочки поставок. Это подчеркивает необходимость строгих мер безопасности на протяжении всего жизненного цикла систем искусственного интеллекта и их компонентов ".
"Проверка типа отсутствовала при обработке шрифтов в PDF.js, что позволило бы произвольное выполнение JavaScript в контексте PDF.js", - сказала Mozilla в рекомендательном письме.
Codean Labs, которая охарактеризовала этот недостаток как "оплошность в определенной части кода рендеринга шрифтов", заявила, что он позволяет злоумышленнику выполнить код JavaScript, как только в браузере Firefox открывается PDF-документ с вредоносным ПО.
Проблема была устранена в Firefox 126, Firefox ESR 115.11 и Thunderbird 115.11, выпущенных на прошлой неделе. Это также было исправлено в модуле npm pdfjs-dist версии 4.2.67, выпущенном 29 апреля 2024 года.
"Большинство библиотек-оболочек, таких как react-pdf, также выпустили исправленные версии", - сказал исследователь безопасности Томас Ринсма. "Поскольку некоторые библиотеки, связанные с PDF более высокого уровня, статически встраивают PDF.js, мы рекомендуем рекурсивно проверить вашу папку node_modules на наличие файлов с именем pdf.js, чтобы убедиться ".
Ошибка, отслеживаемая как CVE-2024-34359 (оценка CVSS: 9,7), получила кодовое название Llama Drama от компании Checkmarx, занимающейся безопасностью цепочки поставок программного обеспечения.
"Если его использовать, это может позволить злоумышленникам выполнять произвольный код в вашей системе, ставя под угрозу данные и операции", - сказал исследователь безопасности Гай Нахшон.
llama_cpp_python, привязка к Python для llama.cpp библиотека, это популярный пакет с более чем 3 миллионами загрузок на сегодняшний день, позволяющий разработчикам интегрировать модели искусственного интеллекта с Python.
Исследователю безопасности Патрику Пенгу (retr0reg) приписывают обнаружение и сообщение об ошибке, которая была устранена в версии 0.2.72.
Основная проблема связана с неправильным использованием шаблонизатора Jinja2 в пакете llama_cpp_python, позволяющем внедрять шаблоны на стороне сервера, что приводит к удаленному выполнению кода с помощью специально созданной полезной нагрузки.
"Использование этой уязвимости может привести к несанкционированным действиям злоумышленников, включая кражу данных, компрометацию системы и нарушение работы", - сказал Checkmarx.
"Обнаружение CVE-2024-34359 служит суровым напоминанием об уязвимостях, которые могут возникнуть при слиянии искусственного интеллекта и безопасности цепочки поставок. Это подчеркивает необходимость строгих мер безопасности на протяжении всего жизненного цикла систем искусственного интеллекта и их компонентов ".
Ошибка при выполнении кода в PDF.js
Разработка последовала за обнаружением серьезной ошибки в Mozilla PDF.js Библиотека JavaScript (CVE-2024-4367), которая может допускать выполнение произвольного кода."Проверка типа отсутствовала при обработке шрифтов в PDF.js, что позволило бы произвольное выполнение JavaScript в контексте PDF.js", - сказала Mozilla в рекомендательном письме.
Codean Labs, которая охарактеризовала этот недостаток как "оплошность в определенной части кода рендеринга шрифтов", заявила, что он позволяет злоумышленнику выполнить код JavaScript, как только в браузере Firefox открывается PDF-документ с вредоносным ПО.
Проблема была устранена в Firefox 126, Firefox ESR 115.11 и Thunderbird 115.11, выпущенных на прошлой неделе. Это также было исправлено в модуле npm pdfjs-dist версии 4.2.67, выпущенном 29 апреля 2024 года.
"Большинство библиотек-оболочек, таких как react-pdf, также выпустили исправленные версии", - сказал исследователь безопасности Томас Ринсма. "Поскольку некоторые библиотеки, связанные с PDF более высокого уровня, статически встраивают PDF.js, мы рекомендуем рекурсивно проверить вашу папку node_modules на наличие файлов с именем pdf.js, чтобы убедиться ".
