Maelezo ya shambulio la miundombinu iliyotumiwa katika ukuzaji wa mfumo wa kujifunza wa mashine ya PyTorch ilifunuliwa, ambayo ilifanya iwezekane kutoa funguo za ufikiaji za kutosha kuweka data kiholela kwenye ghala na matoleo ya mradi kwenye GitHub na AWS, na vile vile kubadilisha nambari. katika tawi kuu la hazina na ongeza mlango wa nyuma kupitia utegemezi. Upotoshaji wa kutolewa kwa PyTorch unaweza kutumika kushambulia kampuni kubwa kama vile Google, Meta, Boeing na Lockheed Martin zinazotumia PyTorch katika miradi yao. Kama sehemu ya mpango wa Fadhila ya Mdudu, Meta ililipa watafiti $16250 kwa taarifa kuhusu tatizo.
Kiini cha shambulio hilo ni uwezo wa kuendesha msimbo wako kwenye seva za ujumuishaji zinazoendelea ambazo hufanya kazi za kuunda upya na kuendesha kazi ili kujaribu mabadiliko mapya yaliyotumwa kwenye hazina. Suala hili linaathiri miradi inayotumia vidhibiti vyao vya nje vya "Self-Hosted Runner" na Vitendo vya GitHub. Tofauti na Vitendo vya jadi vya GitHub, vidhibiti vya Kujipangia haviendeshwi kwenye miundombinu ya GitHub, bali kwenye seva zao au mashine pepe zinazodumishwa na wasanidi programu.
Utekelezaji wa majukumu ya kusanyiko kwenye seva zako hukuruhusu kupanga uzinduzi wa nambari ambayo inaweza kuchanganua mtandao wa ndani wa biashara, kutafuta FS ya ndani kwa funguo za usimbaji fiche na ishara za ufikiaji, na kuchambua anuwai za mazingira na vigezo vya kupata hifadhi ya nje au huduma za wingu. Kwa kukosekana kwa utengaji sahihi wa mazingira ya mkusanyiko, data ya siri iliyopatikana inaweza kutumwa nje kwa washambuliaji, kwa mfano, kupitia ufikiaji wa API za nje. Ili kubainisha matumizi ya Mkimbiaji Mwenye Mwenyewe kulingana na miradi, zana ya zana ya Gato inaweza kutumika kuchanganua faili za mtiririko wa kazi zinazoweza kufikiwa na umma na kumbukumbu za uzinduzi wa kazi za CI.
Katika PyTorch na miradi mingine mingi inayotumia Kiendeshaji cha Mwenyeji Mwenyewe, ni wasanidi programu tu ambao mabadiliko yao yamekaguliwa na programu zingine na kujumuishwa kwenye msingi wa msimbo wa mradi ndio wanaoruhusiwa kuendesha kazi za ujenzi. Kuwa na hali ya "mchangiaji" unapotumia mipangilio chaguo-msingi kwenye hazina huwezesha kuzindua vidhibiti vya GitHub wakati wa kutuma maombi ya kuvuta na, ipasavyo, kutekeleza nambari yako katika mazingira yoyote ya GitHub Actions Runner yanayohusiana na hazina au shirika linalosimamia mradi.
Kiunga cha hali ya "mchangiaji" kiligeuka kuwa rahisi kupita - inatosha kwanza kuwasilisha mabadiliko madogo na kungojea ukubaliwe kwenye msingi wa nambari, baada ya hapo msanidi programu alipokea hali ya mshiriki anayefanya kazi kiotomatiki, ambao maombi yao ya kuvuta yanaruhusiwa kujaribiwa katika miundombinu ya CI bila uthibitishaji tofauti. Ili kufikia hali ya msanidi programu, jaribio lilijumuisha mabadiliko madogo ya vipodozi ili kusahihisha makosa katika uhifadhi. Ili kupata ufikiaji wa hazina na uhifadhi wa matoleo ya PyTorch, shambulio wakati wa kutekeleza nambari ya "Self-Hosted Runner" ilinasa toni ya GitHub inayotumiwa kufikia hazina kutoka kwa michakato ya ujenzi, na vile vile vitufe vya AWS vilivyotumika kuhifadhi matokeo ya ujenzi. .
Suala hili si mahususi kwa PyTorch na linaathiri miradi mingine mingi mikubwa inayotumia mipangilio chaguo-msingi ya "Mkimbiaji Mwenye Mwenyewe" katika Vitendo vya GitHub. Kwa mfano, utekelezaji wa mashambulizi kama hayo ulitajwa kusakinisha mlango wa nyuma katika baadhi ya miradi mikubwa ya fedha za cryptocurrency na miradi ya blockchain yenye mtaji wa dola bilioni, kufanya mabadiliko kwenye matoleo ya Microsoft Deepspeed na TensorFlow, kuathiri mojawapo ya programu za CloudFlare, na pia kutekeleza. msimbo kwenye kompyuta kwenye mtandao wa Microsoft. Maelezo ya matukio haya bado hayajafichuliwa. Chini ya programu zilizopo za fadhila za wadudu, watafiti wamewasilisha zaidi ya maombi 20 ya zawadi zenye thamani ya dola laki kadhaa.
Chanzo: opennet.ru