- 29 Mar 2020
- 1,850
- 1,215
Sockeye
Sockeye, PyTorch üzerine kurulu Nöral Makine Çevirisi için açık kaynaklı bir diziden diziye çerçevedir. Sockeye, model ve veri yapılandırmalarını diskte depolamak için YAML kullanır. 2.3.24'ün altındaki sürümler, yapılandırma dosyalarına gömülü rasgele kod yürütmek için yapılabilecek güvenli olmayan YAML yüklemesini kullanır. Saldırgan, eğitimli bir modelin yapılandırma dosyasına kötü amaçlı kod ekleyebilir ve kullanıcıları indirip çalıştırmaya ikna etmeye çalışabilir. Kullanıcılar modeli çalıştırırsa, katıştırılmış kod yerel olarak çalışır. Sorun, sürüm 2.3.24'te giderilmiştir.
Referans:
Sockeye, PyTorch üzerine kurulu Nöral Makine Çevirisi için açık kaynaklı bir diziden diziye çerçevedir. Sockeye, model ve veri yapılandırmalarını diskte depolamak için YAML kullanır. 2.3.24'ün altındaki sürümler, yapılandırma dosyalarına gömülü rasgele kod yürütmek için yapılabilecek güvenli olmayan YAML yüklemesini kullanır. Saldırgan, eğitimli bir modelin yapılandırma dosyasına kötü amaçlı kod ekleyebilir ve kullanıcıları indirip çalıştırmaya ikna etmeye çalışabilir. Kullanıcılar modeli çalıştırırsa, katıştırılmış kod yerel olarak çalışır. Sorun, sürüm 2.3.24'te giderilmiştir.
Referans:
Code injection via unsafe YAML loading
### Impact Sockeye uses YAML to store model and data configurations on disk. Versions below 2.3.24 use unsafe YAML loading, which can be made to execute arbitrary code embedded in config files. ...
github.com
Release 2.3.24 · awslabs/sockeye
[2.3.24] Added Use of the safe yaml loader for the model configuration files. [2.3.23] Changed Do not sort BIAS_STATE in beam search. It is constant across decoder steps.
github.com
Use safe yaml loader by tdomhan · Pull Request #964 · awslabs/sockeye
With this change we make use of the safe yaml loader that only accepts our own defined types and the standard yaml types. Additionally, we make sure to be able load tuples (which are used for bucke...
github.com