प्लेटफ़ॉर्म
python
घटक
fedml
में ठीक किया गया
0.8.1
0.8.2
0.8.3
0.8.4
0.8.5
0.8.6
0.8.7
0.8.8
0.8.9
0.8.10
FedML में एक असुरक्षित क्रमबद्धता भेद्यता पाई गई है, जो हमलावरों को दुर्भावनापूर्ण डेटा को क्रमबद्ध करने और संभावित रूप से सिस्टम पर नियंत्रण प्राप्त करने की अनुमति दे सकती है। यह भेद्यता FedML के 0.8.0 से 0.8.9 तक के संस्करणों को प्रभावित करती है, विशेष रूप से gRPC सर्वर घटक के sendMessage फ़ंक्शन में। वर्तमान में, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है, इसलिए उपयोगकर्ताओं को सावधानी बरतने और वैकल्पिक समाधानों पर विचार करने की सलाह दी जाती है।
FedML-AI FedML के संस्करण 0.8.9 और उससे पहले में एक डिसेरियलाइजेशन भेद्यता की पहचान की गई है, विशेष रूप से gRPC सर्वर घटक के grpc_server.py फ़ाइल में sendMessage फ़ंक्शन के भीतर। यह भेद्यता एक दूरस्थ हमलावर को दुर्भावनापूर्ण रूप से तैयार संदेश भेजकर प्रभावित सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति देती है। इस भेद्यता की गंभीरता को CVSS 7.3 के रूप में रेट किया गया है, जो एक मध्यम से उच्च जोखिम का संकेत देता है। प्रारंभिक प्रकटीकरण सूचनाओं पर विक्रेता की प्रतिक्रिया की कमी स्थिति को बढ़ा देती है, जिससे उपयोगकर्ताओं को आधिकारिक फिक्स के बिना उजागर छोड़ दिया जाता है। सफल शोषण से FedML डेटा और सिस्टम की गोपनीयता, अखंडता और उपलब्धता से समझौता हो सकता है।
भेद्यता gRPC सर्वर के sendMessage फ़ंक्शन में मौजूद है, जो एक दूरस्थ हमलावर को विशेष रूप से तैयार संदेश भेजने की अनुमति देता है जो दुर्भावनापूर्ण वस्तुओं के डिसेरियलाइजेशन को ट्रिगर करता है। sendMessage फ़ंक्शन में इनपुट सत्यापन की कमी शोषण को सुविधाजनक बनाती है। एक हमलावर इस भेद्यता का उपयोग सर्वर पर मनमाना कमांड निष्पादित करने, संवेदनशील डेटा तक पहुंचने या सिस्टम पर पूर्ण नियंत्रण प्राप्त करने के लिए कर सकता है। शोषण की दूरस्थ प्रकृति का अर्थ है कि हमलावर को प्रभावित सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं है।
Organizations utilizing FedML for machine learning tasks, particularly those deploying it in cloud environments or exposing it to external networks, are at significant risk. Environments with limited security controls or those relying on older, unpatched versions of FedML are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be impacted.
• python / server:
import os
import subprocess
# Check for the vulnerable file
if os.path.exists('/path/to/fedml/grpc_server.py'): # Replace with actual path
try:
result = subprocess.run(['grep', '-i', 'sendMessage', '/path/to/fedml/grpc_server.py'], capture_output=True, text=True, check=True)
if 'sendMessage' in result.stdout:
print('Vulnerable file detected.')
else:
print('sendMessage function not found.')
except subprocess.CalledProcessError as e:
print(f'Error checking file: {e}')
else:
print('FedML not installed.')• generic web:
curl -I <fedml_grpc_endpoint> # Check for unusual headers or content types related to serializationdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि विक्रेता ने कोई समाधान प्रदान नहीं किया है, इसलिए तत्काल शमन में एक अपडेट जारी होने तक FedML-AI FedML के उपयोग से बचना शामिल है। यदि प्लेटफ़ॉर्म का उपयोग करना आवश्यक है, तो अतिरिक्त सुरक्षा उपायों को लागू करने की अनुशंसा की जाती है, जैसे कि नेटवर्क अलगाव, संदिग्ध गतिविधि के लिए नेटवर्क ट्रैफ़िक की निगरानी और सिस्टम संसाधनों तक पहुंच को सीमित करने के लिए सख्त सुरक्षा नीतियों को लागू करना। नवीनतम सुरक्षा पैच के साथ सिस्टम को अद्यतित रखना और संभावित कमजोरियों की पहचान करने और उन्हें संबोधित करने के लिए नियमित सुरक्षा ऑडिट करना महत्वपूर्ण है। यदि संभव हो तो सुरक्षित विकल्प पर माइग्रेट करने पर विचार करें।
Actualice a una versión de FedML posterior a la 0.8.9 para mitigar la vulnerabilidad de deserialización en el servidor gRPC. Revise el código para identificar y eliminar cualquier deserialización insegura. Implemente validación de entrada robusta para prevenir la inyección de datos maliciosos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
डिसेरियलाइजेशन एक प्रोग्राम द्वारा पढ़े जा सकने वाले प्रारूप में संग्रहीत या प्रसारित डेटा को बदलने की प्रक्रिया है। एक डिसेरियलाइजेशन भेद्यता तब होती है जब कोई प्रोग्राम उचित सत्यापन के बिना अविश्वसनीय डेटा को डिसेरियलाइज करता है, जिससे हमलावर को दुर्भावनापूर्ण कोड इंजेक्ट करने की अनुमति मिलती है।
यदि आप FedML-AI FedML संस्करण 0.8.9 या उससे पहले का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं। अधिक जानकारी के लिए FedML दस्तावेज़ देखें।
नेटवर्क अलगाव और नेटवर्क ट्रैफ़िक की निगरानी जैसे शमन उपायों को लागू करें।
हाँ, विक्रेता को सूचित किया गया है, लेकिन अभी तक प्रतिक्रिया नहीं दी गई है।
आपकी आवश्यकताओं के आधार पर, FedML के कई विकल्प हैं। शोध करें और एक ऐसा समाधान चुनें जो आपकी सुरक्षा आवश्यकताओं को पूरा करता हो।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।