MLOpsプラットフォーム「MLflow」に深刻な脆弱性
機械学習のライフサイクルを管理するプラットフォーム「MLflow」に深刻な脆弱性が明らかとなった。「MLflow」とは無関係のファイルを読み取られるおそれがある。
「同2.2.0」および以前のバージョンに「リモートファイルインクルージョン(LFI)」の脆弱性「CVE-2023-1177」が明らかとなったもの。
「mlflow server」や「mlflow ui」コマンドを使用してモデルレジストリサーバをホストしている場合、クエリを実行できるユーザーによって「MLflow」とは無関係である任意のファイルをリモートより参照されるおそれがある。
「MLflow」そのものに認証機能が用意されていないため、脆弱性を報告したセキュリティ研究者は、インストールしたデフォルトの状態ではリモートより認証なしにアクセスが可能であると指摘。
「MLflow」は「Amazon S3」環境で広く利用されているが、こうしたケースでは、実装環境における「AWSアカウント」の認証情報や、「SSH秘密鍵」の窃取などにつながるおそれがあると危険性を説明している。
(Security NEXT - 2023/03/27 )
ツイート
関連リンク
PR
関連記事
申込者の個人情報を事務局が誤アップロード - 福岡国際マラソン
ALSIの複数製品にCSRF脆弱性 - OEM製品にも影響
メアド入力ミスで要配慮情報を含むメールを誤送信 - 川崎市
日本シーサート協議会、12月に年次カンファレンスを開催
KADOKAWA「あらたなサイバー攻撃は未確認」 - 攻撃者主張を受け
複数Adobe製品にアドバイザリ - いずれも「クリティカル」脆弱性含む
宛先に複数メアド、問題気づくも対応作業中に誤送信 - 茨城県
「Ivanti Endpoint Manager」に深刻な脆弱性 - 修正パッチを公開
「Adobe Acrobat/Reader」にアップデート - 脆弱性2件を修正
「Citrix Workspace app」のWindows版に複数の脆弱性が判明