漏洞风险提示(20241105)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 PyTorch反序列化漏洞(CVE-2024-48063)
一、漏洞描述:
PyTorch 是一个开源的深度学习框架,广泛用于机器学习和人工智能领域。PyTorch 2.4.1及之前版本的分布式RPC框架中存在反序列化漏洞,由于RemoteModule在反序列化过程中没有适当地验证或清理输入数据,导致攻击者可以通过客户端将包含恶意方法的RemoteModule实例序列化为数据,并通过RPC框架发送到服务器触发反序列化,从而可能导致在服务器上远程执行任意命令。
二、风险等级:
高危
三、影响范围:
PyTorch <= 2.4.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/pytorch/pytorch/releases
2 HashiCorp Consul 安全漏洞(CVE-2024-10006)
一、漏洞描述:
HashiCorp Consul是美国HashiCorp公司的一套分布式、高可用数据中心感知解决方案。该产品用于跨动态分布式基础架构连接和配置应用程序。HashiCorp Consul存在安全漏洞,该漏洞源于在 L7 流量意图中使用 Headers 可以绕过基于 HTTP 请求路径的访问规则。
二、风险等级:
高危
三、影响范围:
HashiCorp Consul
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://discuss.hashicorp.com/t/hcsec-2024-23-consul-l7-intentions-vulnerable-to-headers-bypass
3 HP Smart Universal Printing Driver 远程代码执行漏洞(CVE-2024-9419)
一、漏洞描述:
HP Smart Universal Printing Driver(SUPD)是美国惠普(HP)公司的一个智能通用打印机程序。HP Smart Universal Printing Driver(SUPD)存在安全漏洞,该漏洞源于容易受到远程代码执行和特权提升的攻击。
二、风险等级:
高危
三、影响范围:
HP Smart Universal Printing Driver(SUPD)
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.hp.com/us-en/document/ish_11505949-11505972-16
4 Delta Electronics InfraSuite Device Master 代码问题漏洞(CVE-2024-10456)
一、漏洞描述:
Delta Electronics InfraSuite Device Master是中国台达电子(Delta Electronics)公司的用于简化和自动化关键设备监控的设备。Delta Electronics InfraSuite Device Master 1.0.12及之前版本存在代码问题漏洞,该漏洞源于受到针对设备网关的反序列化漏洞的影响,允许在身份验证之前反序列化任意.NET对象,从而导致远程代码执行。
二、风险等级:
高危
三、影响范围:
Delta Electronics InfraSuite Device Master <= 1.0.12
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.deltaww.com/en-US/products/Management-System/data-center-infrasuite-device-master
页:
[1]