NVidias NVFlare-SDK Schwachstelle

 

Eine Sicherheitslücke in NVidias NVFlare-SDK hat zur Folge, dass ein Angreifer eigenen Schadcode auf dem betroffenen System ausführen kann. Die Schwachstelle entsteht durch ein Problem bei der Verwendung des Python-Pickles-Moduls zum Serialisieren und Deserialisieren von Daten im DXO-Modul.  Es ist allgemein bekannt, dass Nutzer nicht beliebige Daten depicklen sollen, da dies ein Sicherheitsrisiko darstellt. Grundsätzlich ist es nämlich möglich die Daten so zusammenzustellen, dass beim Depickeln vom Angreifer gewünschter Programmcode ausgeführt wird.

Die Schwachstelle betrifft alle Versionen vor 2.1.4. In der aktuellen Version verwenden die Entwickler statt des Pickel-Moduls nun das MessagePack-Verfahren, wodurch das Problem nicht mehr auftritt.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben