西甲联赛买球

Welcome!

西甲联赛买球

产品中心 >>西甲联赛买球 > 产品中心 >

产品中心 TensorFlow 因代码实走漏洞将舍用 YAML,保举开发者改用 JSON

文章来源:admin 时间:2021-09-08

Tensorflow 是一个基于 Python 的机器学习和人造智能项现在产品中心,该项现在由 Google 开发。近日 TensorFlow 已经屏舍了对 YAML 的声援,以修复一个关键的代码实走漏洞。

国家新闻出版署:所有网络游戏企业仅可在周五、周六、周日和法定节假日每日 20 时至 21 时向未成年人提供 1 小时服务。

历年来,手机店被盗的消息都并不在少数,但是被一扫而光的情况以往只在国外的 Apple Store 才会出现,近期在国内的小米之家却也出现了类似的恶劣情况。

8 月 30 日,据新华社报道,国家新闻出版署有关负责人解释了《关于进一步严格管理 切实防止未成年人沉迷网络游戏的通知》的动态变化。

据了解,国家新闻出版署于 2019 年印发该《通知》,后续也建成了网络游戏防沉迷实名验证系统,实现了合规上线运营游戏的全部接入。

8 月 30 日,网曝光厦门瑞景广场小米之家店被洗劫。网传的一段视频显示,事发 8 月 30 日凌晨 2 点,有 5 个看起来年纪不大的孩子将门店玻璃门强行破坏推开,先后闯入厦门瑞景广场小米之家店。

YAML 或 YAML Ain't Markup Language 是一栽人类可读的数据序列化说话,用于在进程和行使程序之间传递对象和存储数据产品中心,很多 Python 行使程序都操纵 YAML 来序列化和逆序列化对象。

该漏洞的 CVE ID 为 CVE-2021-37678。TensorFlow 和 Keras(TensorFlow 的一个封装项现在)的维护者外示,该漏洞源于对 YAML 的担心然解析,漏洞会在行使程序逆序列化以 YAML 格式挑供的 Keras 模型时,使抨击者能够实走肆意代码。逆序列化漏洞清淡发生在行使程序读取来自非实在来源的不良或凶意数据时。

这个 YAML 逆序列化漏洞的主要水平被评为 9.3 级,由坦然钻研员 Arjun Shibu 通知给 TensorFlow 维护者。

这个漏洞的来源是 TensorFlow 代码中污名昭著的 "yaml.unsafe_load()" 函数。

坦然钻研员 Arjun Shibu 外示,"吾在 TensorFlow 中搜索了 Pickle 和 PyYAML 的逆序列化模式,令人惊讶的是,吾发现了对危险函数 yaml.unsafe_load() 的调用。"

多所周知,"unsafe_load" 函数能够对 YAML 数据进走相等解放的逆序列化 —— 它解析了一切的标签,即使是那些不受信任的输入上已知担心然的标签。该函数直接添载 YAML 输入而偏差其进走清算,这使得操纵凶意代码注入数据成为能够。

序列化的操纵在机器学习行使中专门普及。训练模型是一个腾贵且缓慢的过程。所以,开发人员频繁操纵预先训练益的模型,这些模型已经存储在 YAML 或 TensorFlow 等 ML 库声援的其他格式中。

在该漏洞被吐露后,TensorFlow 的维护者决定十足屏舍对 YAML 的声援,而操纵 JSON 进走逆序列化。值得仔细的是,TensorFlow 并不是第一个、也不是唯逐一个被发现操纵 YAML unsafe_load 的项现在。该函数的操纵在 Python 项现在中是相等普及的。

TensorFlow 的维护者外示,CVE-2021-37678 漏洞将于 TensorFlow 2.6.0 版本的更新中进走修复,并且还将被回传到之前的 2.5.1、2.4.3 和 2.3.4 版本。自岁首以来,Google 已经在 TensorFlow 上修复了 100 多个坦然漏洞。

本文转自OSCHINA

本文标题:TensorFlow 因代码实走漏洞将舍用 YAML,保举开发者改用 JSON

本文地址:https://www.oschina.net/news/159014/deserialization-bug-in-tensorflow产品中心

Powered by 西甲联赛买球 @2013-2021 RSS地图 HTML地图