PyTorch இயந்திர கற்றல் கட்டமைப்பின் வளர்ச்சியில் பயன்படுத்தப்படும் உள்கட்டமைப்பு மீதான தாக்குதலின் விவரங்கள் வெளிப்படுத்தப்பட்டன, இது GitHub மற்றும் AWS இல் திட்ட வெளியீடுகளுடன் தன்னிச்சையான தரவை களஞ்சியத்தில் வைக்க போதுமான அணுகல் விசைகளைப் பிரித்தெடுப்பதை சாத்தியமாக்கியது, அத்துடன் குறியீட்டை மாற்றவும். களஞ்சியத்தின் பிரதான கிளையில் மற்றும் சார்புகள் மூலம் பின்கதவைச் சேர்க்கவும். கூகுள், மெட்டா, போயிங் மற்றும் லாக்ஹீட் மார்ட்டின் போன்ற பெரிய நிறுவனங்களைத் தாக்க பைடார்ச் வெளியீட்டு ஏமாற்றுதல் பயன்படுத்தப்படலாம். பக் பவுன்டி திட்டத்தின் ஒரு பகுதியாக, சிக்கலைப் பற்றிய தகவலுக்காக மெட்டா ஆராய்ச்சியாளர்களுக்கு $16250 செலுத்தியது.
தாக்குதலின் சாராம்சம், உங்கள் குறியீட்டை தொடர்ச்சியான ஒருங்கிணைப்பு சேவையகங்களில் இயக்கும் திறன் ஆகும், அவை மறுகட்டமைப்பைச் செய்கின்றன மற்றும் களஞ்சியத்திற்கு அனுப்பப்பட்ட புதிய மாற்றங்களைச் சோதிக்க வேலைகளை இயக்குகின்றன. GitHub செயல்களுடன் தங்கள் சொந்த வெளிப்புற "Self-hosted Runner" ஹேண்ட்லர்களைப் பயன்படுத்தும் திட்டங்களை இந்தச் சிக்கல் பாதிக்கிறது. பாரம்பரிய கிட்ஹப் செயல்களைப் போலன்றி, சுய-ஹோஸ்ட் ஹேண்ட்லர்கள் கிட்ஹப் உள்கட்டமைப்பில் இயங்குவதில்லை, ஆனால் அவற்றின் சொந்த சேவையகங்களில் அல்லது டெவலப்பர்-பராமரிக்கப்பட்ட மெய்நிகர் இயந்திரங்களில்.
உங்கள் சேவையகங்களில் அசெம்பிளி பணிகளைச் செயல்படுத்துவது, ஒரு நிறுவனத்தின் உள் நெட்வொர்க்கை ஸ்கேன் செய்யக்கூடிய குறியீட்டின் வெளியீட்டை ஒழுங்கமைக்கவும், குறியாக்க விசைகள் மற்றும் அணுகல் டோக்கன்களுக்காக உள்ளூர் FS ஐத் தேடவும், வெளிப்புற சேமிப்பகம் அல்லது கிளவுட் சேவைகளை அணுகுவதற்கான அளவுருக்கள் மூலம் சுற்றுச்சூழல் மாறிகளை பகுப்பாய்வு செய்யவும் உங்களை அனுமதிக்கிறது. அசெம்பிளி சூழலின் சரியான தனிமைப்படுத்தல் இல்லாத நிலையில், கண்டறியப்பட்ட ரகசியத் தரவை தாக்குபவர்களுக்கு வெளிப்புறமாக அனுப்ப முடியும், எடுத்துக்காட்டாக, வெளிப்புற APIகளுக்கான அணுகல் மூலம். திட்டங்களால் சுய-ஹோஸ்ட் செய்யப்பட்ட ரன்னரின் பயன்பாட்டைத் தீர்மானிக்க, பொதுவில் அணுகக்கூடிய பணிப்பாய்வு கோப்புகள் மற்றும் CI பணி வெளியீட்டு பதிவுகளை பகுப்பாய்வு செய்ய Gato கருவித்தொகுப்பைப் பயன்படுத்தலாம்.
PyTorch மற்றும் Self-hosted Runner ஐப் பயன்படுத்தும் பல திட்டங்களில், டெவெலப்பர்கள் மட்டுமே, முன்னர் மதிப்பாய்வு செய்யப்பட்டு, திட்டத்தின் கோட்பேஸில் சேர்க்கப்பட்டுள்ள மாற்றங்களை உருவாக்க அனுமதிக்கப்படுவார்கள். களஞ்சியத்தில் இயல்புநிலை அமைப்புகளைப் பயன்படுத்தும் போது "பங்களிப்பாளர்" நிலையை வைத்திருப்பது, இழுக்கும் கோரிக்கைகளை அனுப்பும் போது GitHub ஆக்ஷன்ஸ் ஹேண்ட்லர்களைத் தொடங்குவதை சாத்தியமாக்குகிறது, அதன்படி, களஞ்சியம் அல்லது திட்டத்தை மேற்பார்வையிடும் நிறுவனத்துடன் தொடர்புடைய எந்த GitHub Actions Runner சூழலில் உங்கள் குறியீட்டை இயக்கவும்.
“பங்களிப்பாளர்” நிலைக்கான இணைப்பு கடந்து செல்வது எளிதானது - முதலில் ஒரு சிறிய மாற்றத்தைச் சமர்ப்பித்து, குறியீட்டு தளத்தில் ஏற்றுக்கொள்ளப்படும் வரை காத்திருந்தால் போதும், அதன் பிறகு டெவலப்பர் தானாகவே செயலில் உள்ள பங்கேற்பாளரின் நிலையைப் பெற்றார், யாருடைய இழுக்க கோரிக்கைகள் தனி சரிபார்ப்பு இல்லாமல் CI உள்கட்டமைப்பில் சோதிக்க அனுமதிக்கப்படுகின்றன. செயலில் உள்ள டெவலப்பர் நிலையை அடைவதற்கு, ஆவணத்தில் எழுத்துப் பிழைகளைச் சரிசெய்வதற்காக சிறிய ஒப்பனை மாற்றங்களைச் சோதனையில் சேர்த்தது. PyTorch வெளியீடுகளின் களஞ்சியம் மற்றும் சேமிப்பகத்திற்கான அணுகலைப் பெற, "Self-hosted Runner" இல் குறியீட்டை இயக்கும் போது ஏற்படும் தாக்குதல், உருவாக்க செயல்முறைகளிலிருந்து களஞ்சியத்தை அணுகப் பயன்படுத்தப்படும் GitHub டோக்கனையும், உருவாக்க முடிவுகளைச் சேமிக்கப் பயன்படுத்தப்படும் AWS விசைகளையும் இடைமறித்தது. .
இந்த சிக்கல் PyTorch க்கு குறிப்பிட்டதல்ல மற்றும் GitHub செயல்களில் "சுய-ஹோஸ்ட் செய்யப்பட்ட ரன்னர்" க்கான இயல்புநிலை அமைப்புகளைப் பயன்படுத்தும் பல பெரிய திட்டங்களைப் பாதிக்கிறது. எடுத்துக்காட்டாக, சில பெரிய கிரிப்டோகரன்சி பணப்பைகள் மற்றும் பிளாக்செயின் திட்டங்களில் ஒரு பில்லியன் டாலர் மூலதனம் கொண்ட பின்கதவை நிறுவவும், மைக்ரோசாஃப்ட் டீப்ஸ்பீட் மற்றும் டென்சர்ஃப்ளோவின் வெளியீடுகளில் மாற்றங்களைச் செய்யவும், கிளவுட்ஃப்ளேர் பயன்பாடுகளில் ஒன்றை சமரசம் செய்யவும், மேலும் செயல்படுத்தவும் இதே போன்ற தாக்குதல்களைச் செயல்படுத்துவது குறிப்பிடப்பட்டுள்ளது. மைக்ரோசாஃப்ட் நெட்வொர்க்கில் உள்ள கணினியில் குறியீடு. இந்த சம்பவங்கள் பற்றிய விவரங்கள் இன்னும் வெளியிடப்படவில்லை. தற்போதுள்ள பிழை பவுண்டி திட்டங்களின் கீழ், பல லட்சம் டாலர்கள் மதிப்புள்ள வெகுமதிகளுக்காக 20க்கும் மேற்பட்ட விண்ணப்பங்களை ஆராய்ச்சியாளர்கள் சமர்ப்பித்துள்ளனர்.
ஆதாரம்: opennet.ru