Μία σοβαρή ευπάθεια αποκαλύφθηκε στο πακέτο Python llama_cpp_python, το οποίο θα μπορούσαν να εκμεταλλευτούν χάκερς για την εκτέλεση αυθαίρετου κώδικα.
Καταχωρημένο ως CVE-2024-34359 (με βαθμολογία CVSS: 9,7), το ελάττωμα αυτό, που ονομάζεται Llama Drama, ανακαλύφθηκε από την εταιρεία ασφάλειας της αλυσίδας εφοδιασμού λογισμικού Checkmarx.
Αυτό θα μπορούσε να επιτρέψει στους χάκερς να εκτελέσουν αυθαίρετο κώδικα στο σύστημά σας, θέτοντας σε κίνδυνο τα δεδομένα και τις λειτουργίες σας”, δήλωσε ο ερευνητής ασφαλείας Guy Nachshon.
Δείτε ακόμη: Ευπάθεια Wi-Fi επιτρέπει την παρακολούθηση διαδικτυακών κινήσεων των χρηστών
Το llama_cpp_python, μια δημοφιλής βιβλιοθήκη Python που βασίζεται στη llama.cpp, έχει ξεπεράσει τις 3 εκατομμύρια λήψεις μέχρι σήμερα. Αυτή η βιβλιοθήκη επιτρέπει στους προγραμματιστές να ενσωματώνουν μοντέλα τεχνητής νοημοσύνης στην Python με ευκολία και αποτελεσματικότητα.
Ο ερευνητής ασφάλειας Patrick Peng (retr0reg) έχει αναγνωριστεί για την ανακάλυψη και αναφορά της ευπάθειας, η οποία διορθώθηκε στην έκδοση 0.2.72.
Το κύριο πρόβλημα προκύπτει από την ακατάλληλη χρήση του κινητήρα προτύπου Jinja2 στο πακέτο llama_cpp_python, επιτρέποντας την έγχυση προτύπου από την πλευρά του διακομιστή, η οποία οδηγεί σε απομακρυσμένη εκτέλεση κώδικα μέσω ενός ειδικά διαμορφωμένου ωφέλιμου φορτίου.
«Η εκμετάλλευση αυτής της ευπάθειας μπορεί να οδηγήσει σε μη εξουσιοδοτημένες ενέργειες από τους χάκερς, συμπεριλαμβανομένης της κλοπής δεδομένων, της παραβίασης του συστήματος και της διακοπής των λειτουργιών», δήλωσε ο Checkmarx.
“Η ανακάλυψη του CVE-2024-34359 αποτελεί μια ισχυρή υπενθύμιση των τρωτών σημείων που μπορεί να αναδυθούν μεταξύ της τεχνητής νοημοσύνης και της ασφάλειας της εφοδιαστικής αλυσίδας. Αναδεικνύει την ανάγκη για προσεκτικές πρακτικές ασφάλειας καθ’ όλη τη διάρκεια ζωής των συστημάτων τεχνητής νοημοσύνης και των εξαρτημάτων τους.”
Η ανάπτυξη ακολουθεί την ανακάλυψη μιας ευπάθειας υψηλής σοβαρότητας στη βιβλιοθήκη JavaScript PDF.js της Mozilla (CVE-2024-4367) που θα μπορούσε να επιτρέψει την εκτέλεση αυθαίρετου κώδικα.
«Η Mozilla ανέφερε σε μια συμβουλευτική ανακοίνωση ότι “στο PDF.js έλειπε ένας έλεγχος τύπου κατά τον χειρισμό γραμματοσειρών, γεγονός που θα μπορούσε να επιτρέψει την εκτέλεση αυθαίρετου JavaScript εντός του πλαισίου του PDF.js”».
Η Codean Labs περιέγραψε την ευπάθεια ως “παράλειψη σε ένα συγκεκριμένο τμήμα του κώδικα απόδοσης γραμματοσειράς”. Εξήγησε ότι επιτρέπει σε έναν χάκερ να εκτελέσει κώδικα JavaScript μόλις ανοίξει ένα έγγραφο PDF με κακόβουλο λογισμικό στο πρόγραμμα περιήγησης Firefox.
Διαβάστε επίσης: Ελάττωμα του Fluent Bit επηρεάζει όλους τους μεγάλους παρόχους cloud
Το ζήτημα επιλύθηκε σε Firefox 126, Firefox ESR 115.11 και Thunderbird 115.11, τα οποία κυκλοφόρησαν την προηγούμενη εβδομάδα. Η επίλυση πραγματοποιήθηκε επίσης στην ενότητα npm pdfjs-dist, έκδοση 4.2.67, που κυκλοφόρησε στις 29 Απριλίου 2024.
“Οι περισσότερες wrapper βιβλιοθήκες, όπως το react-pdf, έχουν επίσης κυκλοφορήσει διορθωμένες εκδόσεις“, ανέφερε ο ερευνητής ασφαλείας Thomas Rinsma. “Δεδομένου ότι ορισμένες βιβλιοθήκες υψηλότερου επιπέδου που σχετίζονται με PDF ενσωματώνουν στατικά το PDF.js, προτείνουμε να ελέγχετε προληπτικά το φάκελο node_modules για αρχεία με την ονομασία pdf.js, ώστε να διασφαλίσετε την ασφάλεια.”
Πηγή: thehackernews
