漏洞预警|NVFlare 不可信数据的反序列化漏洞

最新推荐文章于 2024-04-17 09:34:51 发布
最新推荐文章于 2024-04-17 09:34:51 发布
阅读量1k 收藏
点赞数
分类专栏: 漏洞预警 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/126609855
版权

棱镜七彩安全预警

近日网上有关于开源项目NVFlare 不可信数据的反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

NVFlare 是一个开源框架,使数据科学家和 FL 研究人员能够在不共享私人数据的情况下协作和构建 AI 模型。

项目主页

NVIDIA FLARE — NVIDIA FLARE 2.1.0 documentation

代码托管地址

GitHub - NVIDIA/NVFlare: NVIDIA Federated Learning Application Runtime Environment

CVE编号

 CVE-2022-34668

漏洞情况

NVFlare 是一个开源框架,使数据科学家和 FL 研究人员能够在不共享私人数据的情况下协作和构建 AI 模型。

在 NVFlare 的漏洞版本中由于使用Pickle模块而存在不可信数据的反序列化漏洞。

攻击者可利用该漏洞执行任意代码,甚至接管服务器。

受影响的版本

nvflare@(∞, 2.1.4)

修复方案

升级nvflare到2.1.4或更高版本

链接地址:

NVD - CVE-2022-34668

NVFLARE unsafe deserialization due to Pickle · Advisory · NVIDIA/NVFlare · GitHub

棱镜七彩
关注
专栏目录
安全的反序化基础原理(Insecure deserialization)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
03-15 1148
安全的反序化 文章目录不安全的反序化pikachu123 pikachu 1 class S{ var $test = "pikachu"; function __construct(){ echo $this->test; } } $html=''; if(isset($_POST['o'])){ $s = $_POST['o']; if(!@$unser = unserialize($s)){ $html.="<p&g
反序列化漏洞
金色%夕阳的博客
05-18 4341
反序列化漏洞 1、概述 序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。 条件: 类必须实现反序列化接口,同时设置serialVers
java反序列化漏洞解决建议_浅谈Java反序列化漏洞原理(案例未完善后续补充)...
weixin_32160507的博客
02-24 339
序列化与反序列化 序列化用途:方便于对象在网络中的传输和存储java的反序列化序列化就是将对象转换为流,利于储存和传输的格式反序列化与序列化相反,将流转换为对象例如:json序列化、XML序列化、二进制序列化、SOAP序列化序列化:java.io.ObjectOutputStream 类中的 writeObject()该方法把对象序列化,将字节序列写到一个目标输出流中(.ser扩展名)反序列化:j...
Deserialization反序列化漏洞
Eason_LYC安全白帽子的成长博客
05-14 3000
详细介绍反序列化安全漏洞的知识笔记。绝佳的入门教程+配套靶场
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 6926
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
最新发布
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
Shiro反序列化漏洞检测工具
01-05
反序列化安全的对象时,攻击者可以构造特殊的序列化数据,使其在反序列化过程中调用预期的方法,从而执行恶意代码。 防范这种漏洞的方法主要有以下几点: 1. **升级Shiro版本**:确保Shiro框架的版本高于1.2.4...
Python库 | nvflare_nightly-1.1.0.dev210819-py3-none-any.whl
03-22
python库,解压后可用。 资源全名:nvflare_nightly-1.1.0.dev210819-py3-none-any.whl
Java反序列化漏洞分析
Jitwxs
03-26 1351
转载于:Java反序列化漏洞分析 前言 一、认识Java序列化与反序列化 1.1 定义 1.2 用途 1.3 应用场景 1.4 API实现 1.5 代码实例 二、理解漏洞的产生 三、POC构造 3.1TransformedMap 3.2 Transformer接口 3.3 AnnotationInvocationHandler 3.4 代码实例 四、漏洞分析 4.1 漏洞...
Java反序列化
weixin_34150503的博客
05-29 189
序列化 序列化是把对象转换为字节流,以便于保存在内存、文件、数据库中。反序列化则是相反的过程,将字节流还原为对象,Java中的ObjectOutputStream类的writeObject()方法用于序列化,类ObjectInputStream类的readObject()方法用于反序列化,如果Java应用对不可信数据进行反序列化处理,那么攻击者可以构造恶意输入,使得反序列化后产生非预期的对象,...
探索NVFlare:NVIDIA打造的高效协同研发平台
gitblog_00010的博客
04-17 404
探索NVFlare:NVIDIA打造的高效协同研发平台 项目地址:https://gitcode.com/NVIDIA/NVFlare 在当今快速发展的科技领域,团队协作和项目管理的重要性不言而喻。NVFlare是NVIDIA推出的一款开源工具,它旨在帮助开发者更有效地进行多云环境下的分布式开发、测试与部署。通过集成先进的协作功能和灵活的配置选项,NVFlare让跨地域、跨部门的团队能够无缝地协...
基础知识|反序列化命令执行漏洞
weixin_42282189的博客
11-04 3016
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
序列化与反序列化
TiankkTT的博客
09-17 595
Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。序列化分为两大部分:序列化和反序列化。序列化是这个过程的第一部分,将数据分解成字节流,以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对象。对象序列化不仅要将基本数据类型转换成字节表示,有时还要恢复数据。恢复数据要求有恢复数据的对象实例。
java反序列化漏洞漏洞原理,如何防御此漏洞?如何利用此漏洞
DXfighting_的博客
04-15 2749
漏洞原理: 如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。 漏洞防御: a. 代码审计 反序列化操作一般在导入模版文件、网络通信、数据传输、日志格式化存储、对象数据落磁盘或DB存储等业务场景,在代码审计时可重点关注一些反序列化操作函数并判断输入是否可控,如下: 同时也要关注第三jar包是否提供了一些公共的反序列化操作接口,如果没有相应的安全校验如白名单校验方案,且输入可控的话就
Java与Jackson反序列化漏洞深度解析
"深入解析JAVA及Jackson反序列化漏洞" 本文主要探讨了Java和Jackson库的反序列化原理,以及相关的安全问题。Java反序列化是一个关键的编程概念,它允许将对象的状态转换为字节流,以便存储或在网络中传输,然后在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值