julio 27, 2024

CORSA Online

Información sobre Argentina. Seleccione los temas sobre los que desea obtener más información en Corsa Online

La vulnerabilidad en PyTorch permite la inyección de comandos vía RPC en el nodo maestro

Régulo Segundo 2 meses ago 2 min read
La vulnerabilidad en PyTorch permite la inyección de comandos vía RPC en el nodo maestro

La asociación CERT de BSI advierte de una vulnerabilidad en PyTorch que se produce durante el entrenamiento distribuido de modelos. El marco de aprendizaje automático de código abierto iniciado por Meta aparentemente ejecuta código Python enviado por nodos trabajadores en el nodo maestro sin marcar.

anuncio


Dirige el servicio de alerta e información del CERT-Bund. La vulnerabilidad es como WID-SEC-2024-1323. Con las puntuaciones CVSS más altas 10de ahí el riesgo Muy importante. La vulnerabilidad está en la base de datos de vulnerabilidades del NIST. Listado como CVE-2024-5480.

No es posible determinar exactamente qué versiones de los informes se ven afectadas. NIST habla específicamente de versiones anteriores a 2.2.2 y BSI habla de versiones anteriores a 2.2.3. en Notas oficiales de la versión No hay ninguna referencia explícita para corregir los errores asociados en la versión 2.2.2 o 2.3.

No verificar llamadas a procedimientos remotos

La vulnerabilidad ha sido encontrada. En un marco RPC distribuido torch.distributed.rpc Por ByTorch. Permite la implementación de llamadas a procedimientos remotos (RPC), entre otras cosas, para el entrenamiento distribuido de modelos.

Los nodos trabajadores pueden serializar llamadas a funciones privadas como funciones definidas por el usuario (UDF) y enviarlas al nodo maestro, que las deserializa y ejecuta. Dado que el marco aparentemente no verifica las funciones antes de la ejecución, es adecuado para la inyección de comandos (CWE-77) susceptible.

Si el atacante tiene acceso al nodo trabajador, puede usar cualquier función similar a Python eval Se pasa al nodo maestro, que lo llama. eval A su vez, transfiere la expresión pasada como parámetro de cadena a un comando de Python y lo ejecuta.

READ  Diseño ultra. Y detalles de la cámara

en Plataforma de recompensas por errores Hay un exploit de prueba de concepto. Incluso si el código solo consulta la dirección IP del nodo maestro, el artículo señala que de esta manera se puede acceder a datos confidenciales del nodo maestro.


(Romano)

A la pagina de inicio

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

More Stories

PS5: Se acerca una nueva actualización beta, estas nuevas funciones te están esperando
2 min read

PS5: Se acerca una nueva actualización beta, estas nuevas funciones te están esperando

2 días ago Régulo Segundo
Google está cambiando la forma en que maneja las cookies en Chrome
2 min read

Google está cambiando la forma en que maneja las cookies en Chrome

3 días ago Régulo Segundo
La nueva versión LZ4 comprime más rápido gracias al multithreading
3 min read

La nueva versión LZ4 comprime más rápido gracias al multithreading

3 días ago Régulo Segundo

You may have missed

Pronósticos, predicciones y probabilidades de Argentina vs Irak
1 min read

Pronósticos, predicciones y probabilidades de Argentina vs Irak

4 horas ago Isandro Llanas
Coches eléctricos: los alemanes se declaran en huelga de compradores
5 min read

Coches eléctricos: los alemanes se declaran en huelga de compradores

4 horas ago Clemente Olivar
La policía cometió errores: Abogado: Timberlake no estaba nada borracho
2 min read

La policía cometió errores: Abogado: Timberlake no estaba nada borracho

4 horas ago Pepita Estremera
Los estadounidenses tienen ADN de neandertal según pruebas genéticas, lo que sugiere un “cruzamiento significativo”.
4 min read

Los estadounidenses tienen ADN de neandertal según pruebas genéticas, lo que sugiere un “cruzamiento significativo”.

4 horas ago Clemente Olivar