Google TensorFlow框架近日傳出受重大風險程式碼執行漏洞影響安全性,為此Google宣布將不再支援YAML格式,建議開發人員改成其他格式。

TensorFlow是一個Google發展並開源出來的機器學習框架,可支援深度學習的各種演算法。新發現的漏洞編號CVE-2021-37678,是8月間研究人員Arjun Shibu揭露並通報。它出在TensorFlow使用的Keras開源碼函式庫的Keras Model Handler元件,對序列化輸入資料的驗證不足,導致從YAML格式Keras模型反序列化(deserialization)的過程中觸發權限升級,使Tensorflow和Kera在目標系統上執行任意程式碼。

本漏洞影響TensorFlow 2.3.3、2.4.2與2.5.0,風險值達9.3。Google指出,由於支援YAML格式需要大量作業,因此決定移除。Google建議開發人員以JSON取代YAML序列化,或改成H5格式

Google已釋出更新版本TensorFlow 2.6.0,也會在TensorFlow 2.5.1、2.4.3和  2.3.4版標明,因為這些版本仍受影響。Keras則從0.1.0到2.6.0版皆受影響,Keras已於8月初釋出2.6.0 RC3更新版軟體。


熱門新聞

Advertisement