PyTorch машин сургалтын тогтолцоог хөгжүүлэхэд ашигласан дэд бүтцэд халдсан тухай нарийвчилсан мэдээлэл илэрсэн бөгөөд энэ нь GitHub болон AWS дээрх төслийн хувилбарууд бүхий репозиторид дурын өгөгдлийг байрлуулахад хангалттай хандалтын түлхүүрүүдийг гаргаж авах, мөн кодыг орлуулах боломжтой болгосон. репозиторын үндсэн салбар болон хамаарлаар дамжуулан арын хаалга нэмнэ. PyTorch хувилбарын хууран мэхлэлт нь Google, Meta, Boeing, Lockheed Martin зэрэг PyTorch-ийг төсөлдөө ашигладаг томоохон компаниудад халдлага хийхэд ашиглаж болно. “Bug Bounty” хөтөлбөрийн хүрээнд Мета судлаачдад асуудлын талаар мэдээлэл өгөхийн тулд 16250 доллар төлсөн.
Довтолгооны мөн чанар нь репозитор руу илгээсэн шинэ өөрчлөлтүүдийг шалгахын тулд дахин бүтээж, ажлыг гүйцэтгэдэг тасралтгүй нэгтгэх серверүүд дээр өөрийн кодыг ажиллуулах чадвар юм. Асуудал нь GitHub үйлдлүүдтэй өөрийн гадаад "Өөрийгөө зохион байгуулсан гүйгч" зохицуулагчийг ашигладаг төслүүдэд нөлөөлж байна. Уламжлалт GitHub үйлдлүүдээс ялгаатай нь Self-Hosted зохицуулагчид GitHub дэд бүтэц дээр ажилладаггүй, харин өөрсдийн серверүүд эсвэл хөгжүүлэгчийн засвар үйлчилгээтэй виртуал машинууд дээр ажилладаг.
Серверүүд дээрээ угсрах даалгавруудыг гүйцэтгэх нь аж ахуйн нэгжийн дотоод сүлжээг сканнердах, локал FS-ээс шифрлэлтийн түлхүүр, хандалтын жетон хайх, гадаад санах ой эсвэл үүлэн үйлчилгээнд нэвтрэх параметрүүдтэй хүрээлэн буй орчны хувьсагчдад дүн шинжилгээ хийх кодыг эхлүүлэх ажлыг зохион байгуулах боломжийг олгодог. Угсрах орчныг зохих ёсоор тусгаарлаагүй тохиолдолд олсон нууц мэдээллийг гадны API руу нэвтрэх замаар халдагчид руу илгээж болно. Төсөлд Self-Hosted Runner-ийн хэрэглээг тодорхойлохын тулд Gato toolkit нь олон нийтэд нээлттэй ажлын урсгалын файлууд болон CI ажлыг эхлүүлэх бүртгэлд дүн шинжилгээ хийхэд ашиглаж болно.
PyTorch болон Self-Hosted Runner-ийг ашигладаг бусад олон төслүүдэд зөвхөн өөрчлөлтүүд нь өмнө нь хянагдаж, төслийн кодын санд багтсан хөгжүүлэгчид л бүтээх ажлыг гүйцэтгэхийг зөвшөөрдөг. Репозиторын анхдагч тохиргоог ашиглах үед "хувь нэмэр оруулагч" статустай байх нь татах хүсэлт илгээх үед GitHub Actions зохицуулагчийг ажиллуулж, үүний дагуу репозитор эсвэл төслийг удирдаж буй байгууллагатай холбоотой GitHub Actions Runner орчинд өөрийн кодыг ажиллуулах боломжтой болгодог.
"Хувь нэмэр оруулагч" статусын холбоосыг тойрч гарахад хялбар болсон - эхлээд бага зэргийн өөрчлөлт оруулаад кодын санд хүлээн зөвшөөрөгдөхийг хүлээхэд хангалттай бөгөөд үүний дараа хөгжүүлэгч автоматаар идэвхтэй оролцогчийн статусыг хүлээн авсан. татах хүсэлтийг CI дэд бүтцэд тусад нь баталгаажуулахгүйгээр туршихыг зөвшөөрсөн. Идэвхтэй хөгжүүлэгчийн статусыг олж авахын тулд туршилтанд бичиг баримтын үсгийн алдааг засахын тулд бага зэргийн гоо сайхны өөрчлөлт оруулсан. PyTorch хувилбаруудын репозитор болон хадгалалтад хандах эрх авахын тулд "Өөрийгөө зохион байгуулсан гүйгч"-ийн кодыг гүйцэтгэх явцад халдлага нь бүтээх процессоос репозитор руу нэвтрэхэд ашигладаг GitHub токен, мөн бүтээх үр дүнг хадгалахад ашигладаг AWS түлхүүрүүдийг таслан зогсоосон. .
Асуудал нь PyTorch-д хамаарахгүй бөгөөд GitHub Actions дахь "Өөрийгөө зохион байгуулдаг гүйгч"-ийн анхдагч тохиргоог ашигладаг бусад олон томоохон төслүүдэд нөлөөлдөг. Жишээлбэл, тэрбум долларын хөрөнгө оруулалттай зарим томоохон криптовалютын түрийвч болон блокчэйн төслүүдэд арын хаалга суурилуулах, Microsoft Deepspeed болон TensorFlow-ийн хувилбаруудад өөрчлөлт оруулах, CloudFlare програмуудын аль нэгийг нь эвдэх, мөн гүйцэтгэх зэрэг ижил төстэй халдлагуудыг хэрэгжүүлэх талаар дурьдсан. Microsoft сүлжээний компьютер дээрх код. Эдгээр үйл явдлын дэлгэрэнгүй мэдээллийг хараахан зарлаагүй байна. Одоо байгаа алдааны шагналын хөтөлбөрийн дагуу судлаачид хэдэн зуун мянган долларын шагнал авахаар 20 гаруй өргөдөл ирүүлсэн.
Эх сурвалж: opennet.ru