プラットフォーム
python
コンポーネント
onnx
修正版
1.17.0
onnxフレームワークのdownload_model関数に、パストラバーサル脆弱性が存在します。この脆弱性は、悪意のあるtarファイルを介して、ユーザーディレクトリ内のファイルを上書きすることを可能にし、リモートコマンド実行のリスクを高めます。影響を受けるバージョンは1.9.0以前ですが、バージョン1.17.0で修正されています。迅速なアップデートを推奨します。
このパストラバーサル脆弱性は、攻撃者がonnxフレームワークのdownload_model関数を悪用し、tarファイル内のファイルパスを操作することで、本来アクセスできないファイルシステム上のファイルを上書きすることを可能にします。攻撃者は、重要な設定ファイルや実行ファイルを上書きすることで、システムを完全に制御できる可能性があります。特に、ユーザーディレクトリ内のファイルが上書きされる場合、攻撃者は機密情報を盗み出したり、マルウェアをインストールしたりする可能性があります。この脆弱性の悪用は、システム全体のセキュリティを脅かす重大な事態につながる可能性があります。
この脆弱性は、onnxフレームワークを使用しているPythonアプリケーションに影響を与えます。現時点では、KEV(Known Exploited Vulnerabilities)カタログには登録されていません。公開されているPoCは確認されていませんが、パストラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の脅威情報に注意してください。
Python developers and systems administrators using the onnx framework in their applications are at risk. This includes those deploying machine learning models or applications that rely on the onnx format. Shared hosting environments where multiple users share the same file system are particularly vulnerable, as a malicious tar file uploaded by one user could potentially impact others.
• python / supply-chain:
import os
import tarfile
def check_onnx_vulnerability(tar_file_path):
try:
with tarfile.open(tar_file_path, 'r') as tar:
for member in tar.getmembers():
if '../' in member.name:
print(f"Potential path traversal detected in: {member.name}")
return True
except Exception as e:
print(f"Error processing tar file: {e}")
return False
# Example usage:
# Replace with the path to a potentially malicious tar file
tar_file = 'malicious.tar.gz'
if check_onnx_vulnerability(tar_file):
print("Vulnerability likely present.")
else:
print("No immediate path traversal detected.")• generic web: Check for unusual file downloads or modifications in web server access logs, especially those related to model downloads.
disclosure
エクスプロイト状況
EPSS
1.47% (81% パーセンタイル)
CISA SSVC
CVSS ベクトル
onnxフレームワークのバージョンを1.17.0以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、一時的な回避策として、download_model関数への入力のファイルパスを厳密に検証し、不正なパスが使用されないように制限してください。また、WAF(Web Application Firewall)やプロキシサーバーを使用して、悪意のあるtarファイルのアップロードをブロックすることも有効です。ファイルシステムのアクセス権限を適切に設定し、ユーザーディレクトリへの書き込みアクセスを制限することも重要です。アップデート後、ファイルシステムの整合性を確認し、不正なファイルが存在しないことを確認してください。
Actualice la biblioteca onnx a una versión posterior a la 1.16.1. Esto se puede hacer usando el gestor de paquetes pip: `pip install --upgrade onnx`. Asegúrese de verificar que la actualización se haya realizado correctamente y que la versión instalada sea la correcta.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-7776は、onnxフレームワークのdownload_model関数におけるパストラバーサル脆弱性で、悪意のあるtarファイルを介して任意のファイル上書きを可能にするものです。
onnxフレームワークのバージョン1.9.0以前を使用している場合、影響を受ける可能性があります。攻撃者は、この脆弱性を悪用して、システム内のファイルを上書きし、リモートコマンド実行につながる可能性があります。
onnxフレームワークのバージョンを1.17.0以降にアップデートしてください。アップデートが困難な場合は、ファイルパスの検証やWAFの導入などの回避策を検討してください。
現時点では、公開されているPoCは確認されていませんが、パストラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。
onnxフレームワークの公式アドバイザリは、関連するセキュリティ情報公開を追跡してください。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。