下载龍8游戏 TensorFlow 因代码实走漏洞将舍用 YAML,保举开发者改用 JSON

Tensorflow 是一个基于 Python 的机器学习和人造智能项现在,该项现在由 Google 开发。近日 TensorFlow 已经屏舍了对 YAML 的声援下载龍8游戏,以修复一个关键的代码实走漏洞。

标签:NBA湖人快船实力榜

标签:NBA湖人快船爵士实力榜

标签:哈登 篮网

标签:凯尔特人延期NBA热火常规赛独行侠

标签:NBA湖人太阳勇士实力榜

YAML 或 YAML Ain't Markup Language 是一栽人类可读的数据序列化说话,用于在进程和行使程序之间传递对象和存储数据下载龍8游戏,很多 Python 行使程序都行使 YAML 来序列化和逆序列化对象。

该漏洞的 CVE ID 为 CVE-2021-37678。TensorFlow 和 Keras(TensorFlow 的一个封装项现在)的维护者外示,该漏洞源于对 YAML 的担心然解析,漏洞会在行使程序逆序列化以 YAML 格式挑供的 Keras 模型时,使抨击者能够实走肆意代码。逆序列化漏洞清淡发生在行使程序读取来自非实在来源的不良或凶意数据时。

这个 YAML 逆序列化漏洞的主要水平被评为 9.3 级,由坦然钻研员 Arjun Shibu 通知给 TensorFlow 维护者。

这个漏洞的来源是 TensorFlow 代码中污名昭著的 "yaml.unsafe_load()" 函数。

坦然钻研员 Arjun Shibu 外示,"吾在 TensorFlow 中搜索了 Pickle 和 PyYAML 的逆序列化模式,令人惊讶的是,吾发现了对危险函数 yaml.unsafe_load() 的调用。"

多所周知,"unsafe_load" 函数能够对 YAML 数据进走相等解放的逆序列化 —— 它解析了一切的标签,即使是那些不受信任的输入上已知担心然的标签。该函数直接添载 YAML 输入而偏差其进走修整,这使得行使凶意代码注入数据成为能够。

序列化的行使在机器学习行使中专门远大。训练模型是一个腾贵且缓慢的过程。所以,开发人员频繁行使预先训练益的模型,这些模型已经存储在 YAML 或 TensorFlow 等 ML 库声援的其他格式中。

在该漏洞被吐露后,TensorFlow 的维护者决定十足屏舍对 YAML 的声援,而行使 JSON 进走逆序列化。值得仔细的是,TensorFlow 并不是第一个、也不是唯逐一个被发现行使 YAML unsafe_load 的项现在。该函数的行使在 Python 项现在中是相等远大的。

TensorFlow 的维护者外示,CVE-2021-37678 漏洞将于 TensorFlow 2.6.0 版本的更新中进走修复,并且还将被回传到之前的 2.5.1、2.4.3 和 2.3.4 版本。自岁始以来,Google 已经在 TensorFlow 上修复了 100 多个坦然漏洞。

本文转自OSCHINA

本文标题:TensorFlow 因代码实走漏洞将舍用 YAML,保举开发者改用 JSON

本文地址:https://www.oschina.net/news/159014/deserialization-bug-in-tensorflow下载龍8游戏

posted @ 21-09-07 07:32 作者:admin  阅读:

Powered by 下载龍8游戏 @2018 RSS地图 HTML地图