开源编程语言 R 揭发存在 8.8 分代码执行漏洞,可诱发供应链攻击
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">IT之家 5 月 4 日<span style="color: black;">信息</span>,安全<span style="color: black;">机构</span> HiddenLayer <span style="color: black;">近期</span><span style="color: black;">发掘</span>开源编程语言 R 存在一项<span style="color: black;">准许</span>黑客执行恶意代码的重大漏洞 CVE-2024-27322。<span style="color: black;">该漏洞<span style="color: black;">危害</span>评级为 8.8 分</span>,<span style="color: black;">准许</span>恶意文件在反序列化时执行任意代码。<span style="color: black;">倘若</span><span style="color: black;">关联</span>代码牵涉到软件包,则可能<span style="color: black;">诱发</span>供应链攻击。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="https://q8.itc.cn/q_70/images03/20240504/46154a4169b4422aaf3864391554a58e.png" style="width: 50%; margin-bottom: 20px;"></p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">IT之家注:序列化是将对象转化为可传输的字节序列过程,而反序列化便是将字节序列重新转换为对象的过程,序列化和反序列化<span style="color: black;">一般</span><span style="color: black;">出现</span>在数据存储和网络传输过程中,例如从软件包库下载软件包便<span style="color: black;">触及</span>反序列化。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">据说</span>,R 语言<span style="color: black;">运用</span> RDS 文件格式进行序列化数据的存储或传输,其中 RDS 格式<span style="color: black;">包含</span> .rdb 文件和.rdx 文件。R 程序运行过程中<span style="color: black;">运用</span> readRDS 函数从软件包库中读取这两种文件,<span style="color: black;">而后</span><span style="color: black;">运用</span> eva1 函数判断文件中表达式(expression)的值,以便反序列化 RDS 文件中的对象。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="https://q6.itc.cn/q_70/images03/20240504/583739aa260447d4a82eadf462261b33.png" style="width: 50%; margin-bottom: 20px;"></p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">科研</span>人员指出,CVE-2024-27322 <span style="color: black;">触及</span>到 R 程序的序列化 / 反序列化过程中利用 promise 对象和惰性求值(lazy evaluation)。在反序列化加载 RDS 文件或软件包时,<span style="color: black;">因为</span> R 支持惰性求值,未能<span style="color: black;">即时</span><span style="color: black;">检测</span> RDS 文件中的 promise 对象的指令值。<span style="color: black;">因此呢</span>黑客<span style="color: black;">能够</span>创建<span style="color: black;">包括</span>特定指令值的 RDS 文件,<span style="color: black;">而后</span><span style="color: black;">经过</span>钓鱼手法诱<span style="color: black;">运用</span>户下载打开文件,<span style="color: black;">从而</span>发动攻击。<span style="color: black;">科研</span>人员指出,一旦黑客悄悄替换了原始的.rdx 或.rdb 文件,就<span style="color: black;">能够</span>利用<span style="color: black;">关联</span>软件包发动供应链攻击。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">IT之家<span style="color: black;">重视</span>到,<span style="color: black;"><span style="color: black;">日前</span> R 语言<span style="color: black;">研发</span>团队<span style="color: black;">已然</span><span style="color: black;">颁布</span>了新版本 R Core Version 4.4.0 来<span style="color: black;">处理</span>这个漏洞</span>,安全<span style="color: black;">机构</span><span style="color: black;">亦</span>呼吁<span style="color: black;">研发</span>人员尽快更新。<a style="color: black;"><span style="color: black;">返回<span style="color: black;">外链论坛:http://www.fok120.com/</span>,查看<span style="color: black;">更加多</span></span></a></p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">责任编辑:网友投稿</span></p>
回顾历史,我们不难发现:无数先辈用鲜血和生命铺就了中华民族复兴的康庄大道。 楼主果然英明!不得不赞美你一下!
页:
[1]