TensorFlow 是一个基于 Python 的机器学习和人工智能项目,该项目由 Google 开发。近日 TensorFlow 已经放弃了对 YAML 的支持,以修复一个关键的代码执行漏洞。
YAML 或 YAML Ain’t Markup Language 是一种人类可读的数据序列化语言,用于在进程和应用程序之间传递对象和存储数据,许多 Python 应用程序都使用 YAML 来序列化和反序列化对象。
这个 YAML 反序列化漏洞的严重程度被评为 9.3 级,由安全研究员 Arjun Shibu 报告给 TensorFlow 维护者。
安全研究员 Arjun Shibu 表示,”我在 TensorFlow 中搜索了 Pickle 和 PyYAML 的反序列化模式,令人惊讶的是,我发现了对危险函数 yaml.unsafe_load() 的调用。”
众所周知,”unsafe_load” 函数可以对 YAML 数据进行相当自由的反序列化 —— 它解析了所有的标签,即使是那些不受信任的输入上已知不安全的标签。该函数直接加载 YAML 输入而不对其进行清理,这使得使用恶意代码注入数据成为可能。
序列化的使用在机器学习应用中非常普遍。训练模型是一个昂贵且缓慢的过程。因此,开发人员经常使用预先训练好的模型,这些模型已经存储在 YAML 或 TensorFlow 等 ML 库支持的其他格式中。
在该漏洞被披露后,TensorFlow 的维护者决定完全放弃对 YAML 的支持,而使用 JSON 进行反序列化。值得注意的是,TensorFlow 并不是第一个、也不是唯一一个被发现使用 YAML unsafe_load 的项目。该函数的使用在 Python 项目中是相当普遍的。
TensorFlow 的维护者表示,CVE-2021-37678 漏洞将于 TensorFlow 2.6.0 版本的更新中进行修复,并且还将被回传到之前的 2.5.1、2.4.3 和 2.3.4 版本。自年初以来,Google 已经在 TensorFlow 上修复了 100 多个安全漏洞。
本文标题:TensorFlow 因代码执行漏洞将弃用 YAML,推荐开发者改用 JSON
本文地址:
0x77bd1ddc指令引用0x01e6517f内存,该内存不能为read
几种可能性,供您参考:1、游戏下载不全,或者是D版……建议重新下载、安装。 2、游戏设置可能有问题,重新设置一下。 3、电脑配置可能不支持。 另:内存不能为Read或written(原因以及解决方案):(【py】原创答案,引用请说明原作者py,未通知原作者严禁复制本答案!!)系统出现内存不能为Read或written的原因:1、驱动不稳定,与系统不兼容,这最容易出现内存不能为 Read 或者文件保护2、系统安装了一个或者多个流氓软件,这出现 IE 或者系统崩溃的机会也比较大,也有可能出现文件保护3、系统加载的程序或者系统正在运行的程序之间有冲突,尤其是部分杀毒软件监控程序4、系统本身存在漏洞,导致容易受到网络攻击。 5、病毒问题也是主要导致内存不能为 Read、文件保护、 错误……6、如果在玩游戏时候出现内存不能为 Read,则很大可能是显卡驱动不适合(这里的不适合有不适合该游戏、不适合电脑的显卡),也有可能是 DX9.0C 版本不够新或者不符合该游戏、显卡驱动7、部分软件本身自身不足的问题8、电脑硬件过热,也是导致内存不能为 Read 的原因之一。 9、电脑内存与主板兼容性不好也是导致内存不能为 Read 的致命原因!提供几种解决方案: 1、一次运行注册所有dll,方法如下: 开始——运行,输入CMD 回车在命令提示符下输入 for %1 in (%windir%\system32\*) do /s %1 这个命令你慢慢输,仔细点,输入正确的话会看到飞快地滚屏 否则……否则失败就是没这效果。 回车后慢慢等(需要点时间1-2分钟) 都运行完再尝试之前的操作,看还有没有出现不能为read的现象。 2、在控制面板的添加/删除程序中看看你是否安装了微软,如果已经安装了,可以考虑卸载它,当然如果你以后在其它程序需要时候,可以再重新安装。 另外,如果你用的是ATI显卡并且你用的是SP2的补丁(一些ATI的显卡驱动需要在正常工作的环境下)。 这种情况你可以找一款不需要支持的ATI显卡驱动。 如果以上两种方法并不能完全解决问题,你试着用一下“IE修复”软件,并可以查查是否有病毒之类的。 〔微软升级到1.1版应该没问题了〕 3、引起这个问题的原因很多。 一般来讲就是给系统打上补丁和更换内存、给内存换个插槽这3种方法来解决。 [系统补丁只要到Microsoft Update网站在线更新就可以了! 请选我为满意答案吧!谢谢了!
“千山鸟飞绝,万径人踪灭”我的感悟是:
“千山鸟飞绝,万径人踪灭。 ”绝:绝迹。 人踪:人的踪迹。 灭:消失,没有了。 千山:虚指所有的山。 万径:虚指所有的路。 这两行的意思是:所有的山上,都看不到飞鸟的影子,所有的小路,都没有人的踪影。 写雪景而前三句不见“雪”字,纯用空中烘托之笔、一片空灵。 待结句出“雪”而回视前三句,便知“千山”、“万径”、渔翁,已全覆盖于深雪之中,而那雪还在纷纷扬扬,飞洒不休。 要不然,“千山”何故“鸟飞绝”?“万径”何故“人踪灭”? 用“千山”、“万径”反衬“寒江”、“孤舟” 这首《江雪》与其另作《渔翁》,都以渔翁“自寓”,反映了柳宗元在长期流放过程中交替出现的两种心境。 他有时不甘屈服,力图有所作为;有时又悲观愤懑,寻求精神上的解脱。 《渔翁》中的渔翁,超尘绝俗,悠然自得,正是后一心境的外化。 《江雪》中的渔翁,特立独行,凌寒傲雪,独钓于众人不钓之时,正是前一种心情的写照。
什么是挂马网页
网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里 网页挂马工作原理作为网页挂马的散布者,其目的是将木马下载到用户本地,并进一步执行,当木马获得执行之后,就意味着会有更多的木马被下载,进一步被执行,进入一个恶性的循环,从而使用户的电脑遭到攻击和控制。 为达到目的首先要将木马下载到本地。 面!再加代码使得木马在打开网页是运行! 网页挂马常见的方式1.将木马伪装为页面元素。 木马则会被浏览器自动下载到本地。 2.利用脚本运行的漏洞下载木马 3.利用脚本运行的漏洞释放隐含在网页脚本中的木马 4.将木马伪装为缺失的组件,或和缺失的组件捆绑在一起(例如:flash播放插件)。 这样既达到了下载的目的,下载的组件又会被浏览器自动执行。 5.通过脚本运行调用某些com组件,利用其漏洞下载木马。 6.在渲染页面内容的过程中利用格式溢出释放木马(例如:ani格式溢出漏洞) 7.在渲染页面内容的过程中利用格式溢出下载木马(例如:flash9.0.115的播放漏洞) 在完成下载之后,执行木马的方式1.利用页面元素渲染过程中的格式溢出执行shellcode进一步执行下载的木马 2.利用脚本运行的漏洞执行木马 3.伪装成缺失组件的安装包被浏览器自动执行 4.通过脚本调用com组件利用其漏洞执行木马。 5.利用页面元素渲染过程中的格式溢出直接执行木马。 6.利用com组件与外部其他程序通讯,通过其他程序启动木马(例如:realplayer10.5存在的播放列表溢出漏洞) 在与网马斗争的过程中,为了躲避杀毒软件的检测,一些网马还具有了以下行为: 1.修改系统时间,使杀毒软件失效 2.摘除杀毒软件的HOOK挂钩,使杀毒软件检测失效 3.修改杀毒软件病毒库,使之检测不到恶意代码。 4.通过溢出漏洞不直接执行恶意代码,而是执行一段调用脚本,以躲避杀毒软件对父进程的检测。 网页挂马的检测1.特征匹配。 将网页挂马的脚本按脚本病毒处理进行检测。 但是网页脚本变形方、加密方式比起传统的PE格式病毒更为多样,检测起来也更加困难。 2.主动防御。 当浏览器要做出某些动作时,做出提示,例如:下载了某插件的安装包,会提示是否运行,比如浏览器创建一个暴风影音播放器时,提示是否允许运行。 在多数情况下用户都会点击是,网页木马会因此得到执行。 3.检查父进程是否为浏览器。 这种方法可以很容易的被躲过且会对很多插件造成误报。 如何防止网页被挂马(1):对网友开放上传附件功能的网站一定要进行身份认证,并只允许信任的人使用上传程序。 (2):保证你所使用的程序及时的更新。 (3):不要在前台网页上加注后台管理程序登陆页面的链接。 (4):要时常备份数据库等重要文件,但不要把备份数据库放在程序默认的备份目录下。 (5):管理员的用户名和密码要有一定复杂性,不能过于简单。 (6):IIS中禁止写入和目录禁止执行的功能,二项功能组合,可以有效的防止ASP木马。 (7):可以在服务器、虚拟主机控制面板,设置执行权限选项中,直接将有上传权限的目录,取消ASP的运行权限。 (8):创建一个上传到网站根目录。 Robots能够有效的防范利用搜索引擎窃取信息的骇客。 点此查看使用方法。 对于网页被挂马 可以找下专业安全人士 建议找(Sine安全)及时的处理会避免因为网页被挂马造成的危害。
发表评论