Llama_cpp_python Python paketinde, tehdit aktörleri tarafından keyfi kod yürütme amacıyla kullanılabilecek kritik bir güvenlik açığı ortaya çıktı.
CVE-2024-34359 (CVSS puanı: 9,7) olarak takip edilen kusurun kod adı verildi Alev Dramı yazılım tedarik zinciri güvenlik firması Checkmarx tarafından.
Güvenlik araştırmacısı Guy Nachshon, “Kötüye kullanılması durumunda, saldırganların sisteminizde rastgele kod çalıştırmasına, verilerden ve işlemlerden ödün vermesine olanak tanıyabilir” dedi.
llama.cpp kitaplığı için bir Python bağlaması olan llama_cpp_python, bugüne kadar 3 milyondan fazla indirilen popüler bir pakettir ve geliştiricilerin AI modellerini Python ile entegre etmesine olanak tanır.
Güvenlik araştırmacısı Patrick Peng’in (retr0reg), 0.2.72 sürümünde ele alınan kusuru keşfetmesi ve raporlamasıyla itibar kazandı.
Temel sorun, llama_cpp_python paketi içindeki Jinja2 şablon motorunun kötüye kullanılmasından kaynaklanıyor; bu, özel hazırlanmış bir yük aracılığıyla uzaktan kod yürütülmesine yol açan sunucu tarafı şablon enjeksiyonuna izin veriyor.
Checkmarx, “Bu güvenlik açığından yararlanılması, saldırganların veri hırsızlığı, sistemin tehlikeye atılması ve operasyonların kesintiye uğraması gibi yetkisiz eylemlere yol açabileceğini” söyledi.
“CVE-2024-34359’un keşfi, yapay zeka ve tedarik zinciri güvenliğinin birleştiği noktada ortaya çıkabilecek güvenlik açıklarını net bir şekilde hatırlatıyor. Yapay zeka sistemleri ve bileşenlerinin yaşam döngüsü boyunca dikkatli güvenlik uygulamalarına olan ihtiyacın altını çiziyor.”
PDF.js’de Kod Yürütme Kusuru
Bu gelişme, Mozilla’nın PDF.js JavaScript kitaplığında (CVE-2024-4367) rastgele kod yürütülmesine izin verebilecek yüksek önemdeki bir kusurun keşfedilmesinin ardından geldi.
Mozilla, bir danışma belgesinde “PDF.js’deki yazı tiplerini işlerken, PDF.js bağlamında isteğe bağlı JavaScript yürütülmesine izin verecek bir tür denetimi eksikti” dedi.
Hatayı “yazı tipi oluşturma kodunun belirli bir bölümündeki gözden kaçırma” olarak nitelendiren Codean Labs, bu kusurun, bir saldırganın, kötü amaçlı yazılım içeren bir PDF belgesi Firefox tarayıcısında açılır açılmaz JavaScript kodunu çalıştırmasına izin verdiğini söyledi.
Sorun, geçen hafta gönderilen Firefox 126, Firefox ESR 115.11 ve Thunderbird 115.11’de giderildi. Bu sorun ayrıca 29 Nisan 2024’te yayımlanan npm modülü pdfjs-dist sürüm 4.2.67’de de çözülmüştür.
Güvenlik araştırmacısı Thomas Rinsma, “React-pdf gibi sarmalayıcı kitaplıkların çoğu yamalı sürümler de yayınladı.” dedi. “PDF ile ilgili bazı üst düzey kitaplıklar PDF.js’yi statik olarak gömdüğünden emin olmak için node_modules klasörünüzde pdf.js adı verilen dosyaları yinelemeli olarak kontrol etmenizi öneririz.”