Chaidh mion-fhiosrachadh mun ionnsaigh air a’ bhun-structar a chaidh a chleachdadh ann an leasachadh frèam ionnsachaidh inneal PyTorch fhoillseachadh, a leig leis iuchraichean ruigsinneachd a thoirt a-mach gu leòr gus dàta neo-riaghailteach a chuir san stòr le fiosan pròiseict air GitHub agus AWS, a bharrachd air còd a chuir an àite. anns a 'phrìomh mheur den ionad-tasgaidh agus cuir cùl-raon tro eisimeileachd. Dh’ fhaodadh spoofing sgaoilidh PyTorch a bhith air a chleachdadh gus ionnsaigh a thoirt air companaidhean mòra leithid Google, Meta, Boeing agus Lockheed Martin a bhios a’ cleachdadh PyTorch anns na pròiseactan aca. Mar phàirt den phrògram Bug Bounty, phàigh Meta $16250 do luchd-rannsachaidh airson fiosrachadh mun duilgheadas.
Is e brìgh an ionnsaigh an comas do chòd a ruith air frithealaichean amalachaidh leantainneach a bhios a’ dèanamh ath-thogail agus a’ ruith obraichean gus deuchainn a dhèanamh air atharrachaidhean ùra a chaidh a chuir chun stòr. Bidh a 'chùis a' toirt buaidh air pròiseactan a bhios a 'cleachdadh an luchd-làimhseachaidh "Self-Hosted Runner" le Gnìomhan GitHub. Eu-coltach ri Gnìomhan GitHub traidiseanta, cha bhith luchd-làimhseachaidh fèin-aoigheachd a’ ruith air bun-structar GitHub, ach air na frithealaichean aca fhèin no ann an innealan brìgheil air an cumail suas le leasaiche.
Le bhith a’ cur an gnìomh gnìomhan cruinneachaidh air na frithealaichean agad leigidh sin leat cur air bhog còd a chur air dòigh as urrainn sgrùdadh a dhèanamh air lìonra a-staigh iomairt, sgrùdadh a dhèanamh air an FS ionadail airson iuchraichean crioptachaidh agus comharran ruigsinneachd, agus caochladairean àrainneachd a sgrùdadh le paramadairean airson faighinn gu stòradh taobh a-muigh no seirbheisean sgòthan. Às aonais iomallachd ceart àrainneachd an t-seanaidh, faodar dàta dìomhair a lorgar a chuir a-muigh gu luchd-ionnsaigh, mar eisimpleir, tro ruigsinneachd gu APIan taobh a-muigh. Gus cleachdadh Runner Fèin-aoigheachd le pròiseactan a dhearbhadh, faodar an inneal Gato a chleachdadh gus mion-sgrùdadh a dhèanamh air faidhlichean sruth-obrach a tha ruigsinneach don phoball agus logaichean cur air bhog gnìomh CI.
Ann am PyTorch agus mòran phròiseactan eile a bhios a’ cleachdadh an Runner Fèin-aoigheachd, chan fhaod ach luchd-leasachaidh aig an deach na h-atharrachaidhean aca ath-sgrùdadh le co-aoisean roimhe agus a tha air an gabhail a-steach ann an còd-stèidh a’ phròiseict obraichean togail a ruith. Le bhith a’ faighinn an inbhe “tabharaiche” nuair a bhios tu a’ cleachdadh nan roghainnean bunaiteach san stòr tha e comasach luchd-làimhseachaidh GitHub Actions a chuir air bhog nuair a chuireas tu iarrtasan tarraing agus, a rèir sin, cuir an gnìomh do chòd ann an àrainneachd GitHub Actions Runner co-cheangailte ris an stòr-tasgaidh no a’ bhuidheann a tha os cionn a’ phròiseict.
Thionndaidh an ceangal ris an inbhe “tabharaiche” gu bhith furasta a sheachnadh - tha e gu leòr an toiseach atharrachadh beag a chuir a-steach agus feitheamh gus an tèid a ghabhail a-steach don bhunait còd, às deidh sin fhuair an leasaiche inbhe com-pàirtiche gnìomhach gu fèin-ghluasadach, aig a bheil cead airson iarrtasan tarraing a dhearbhadh ann am bun-structar CI gun dearbhadh air leth. Gus inbhe leasaiche gnìomhach a choileanadh, thug an deuchainn a-steach atharrachaidhean beaga cosmaigeach gus typos a cheartachadh anns na sgrìobhainnean. Gus faighinn gu stòr agus stòradh fiosan PyTorch, chuir an ionnsaigh fhad ‘s a bha e a’ cur an gnìomh còd anns an “Self-Hosted Runner” a-steach an tòcan GitHub a chaidh a chleachdadh gus faighinn chun stòr bho phròiseasan togail, a bharrachd air na h-iuchraichean AWS a chaidh a chleachdadh gus na toraidhean togail a shàbhaladh .
Chan eil a’ chùis sònraichte do PyTorch agus bheir e buaidh air mòran phròiseactan mòra eile a bhios a’ cleachdadh nan roghainnean bunaiteach airson “Self-Hosted Runner” ann an Gnìomhan GitHub. Mar eisimpleir, chaidh iomradh a thoirt air buileachadh ionnsaighean coltach ris gus cùl-raon a chuir a-steach ann an cuid de wallets cryptocurrency mòra agus pròiseactan blockchain le calpachadh billean-dollar, atharrachaidhean a dhèanamh air fiosan Microsoft Deepspeed agus TensorFlow, cuir an aghaidh aon de na tagraidhean CloudFlare, agus cuideachd a chuir an gnìomh. còd air coimpiutair air lìonra Microsoft. Cha deach mion-fhiosrachadh mu na tachartasan sin fhoillseachadh fhathast. Fo na prògraman bounty bug a th’ ann mar-thà, tha luchd-rannsachaidh air còrr air 20 tagradh a chuir a-steach airson duaisean luach ceudan mhìltean dolar.
Source: fosgailtenet.ru