Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

SK-CERT Bezpečnostné varovanie V20240221-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
 9.8
Identifikátor
Open-source AI development supply chain – kritická bezpečnostná zraniteľnosť
Popis
Bezpečnostní výskumníci zverejnili informácie o zraniteľnostiach nachádzajúcich sa v dodávateľskom reťazci open source softvéru v oblasti umelej inteligence a strojového učenia (OSS AI/ML), z ktorých jedna je označená ako kritická.
Kritická bezpečnostná zraniteľnosť s označením CVE-2023-6975 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov komponentu mlflow/mlflow a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej požiadavky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Ostatné bezpečnotné zraniteľnosti môžu spôsobiť vykonanie škodlivého kódu alebo prepísanie ľubovolných súborov s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Dátum prvého zverejnenia varovania
15.2.2024
CVE
CVE-2023-6975, CVE-2023-6753, CVE-2023-6730, CVE-2023-6940, CVE-2023-6976, CVE-2023-31036, CVE-2023-6909, CVE-2024-0964
IOC
Zasiahnuté systémy
mlflow/mlflow
mlflow/mlflow vo Windows
huggingface/transformers
Triton-inference-server/server
gradio-app/gradio

Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkaze v sekcii ZDROJE
Následky
Vykonanie škodlivého kódu
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby
Odporúčania
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Na niektoré uvedené zraniteľnosti je v súčasnosti voľne dostupný Proof-of-Concept kód. Detailné inštrukcie môžete nájsť na webovej doméne huntr.com uvedenej v sekcii ZDROJE.
Pri produktoch, pre ktoré ešte neboli vydané bezpečnostné záplaty, odporúčame zraniteľnosti mitigovať podľa odporúčaní od výrobcu, sledovať stránky výrobcu a po vydaní príslušných záplat systémy aktualizovať.
Zdroje
https://protectai.com/threat-research/february-vulnerability-report
https://nvd.nist.gov/vuln/detail/CVE-2023-6975
https://nvd.nist.gov/vuln/detail/CVE-2023-6753
https://nvd.nist.gov/vuln/detail/CVE-2023-6730
https://nvd.nist.gov/vuln/detail/CVE-2023-6940
https://nvd.nist.gov/vuln/detail/CVE-2023-6976
https://nvd.nist.gov/vuln/detail/CVE-2023-31036
https://nvd.nist.gov/vuln/detail/CVE-2023-6909
https://nvd.nist.gov/vuln/detail/CVE-2024-0964
https://huntr.com/bounties/b27148e3-4da4-4e12-95ae-756d33d94687/?_gl=1%2abc1up%2a_ga%2aMTU2MjU3OTIxLjE3MDgzMzU5ODg.%2a_ga_MT9HL3EKXV%2aMTcwODQyMjM2OS41LjAuMTcwODQyMjM2OS42MC4wLjA.
https://huntr.com/bounties/25e25501-5918-429c-8541-88832dfd3741/?_gl=1%2abc1up%2a_ga%2aMTU2MjU3OTIxLjE3MDgzMzU5ODg.%2a_ga_MT9HL3EKXV%2aMTcwODQyMjM2OS41LjAuMTcwODQyMjM2OS42MC4wLjA.
https://huntr.com/bounties/423611ee-7a2a-442a-babb-3ed2f8385c16/?_gl=1%2abc1up%2a_ga%2aMTU2MjU3OTIxLjE3MDgzMzU5ODg.%2a_ga_MT9HL3EKXV%2aMTcwODQyMjM2OS41LjAuMTcwODQyMjM2OS42MC4wLjA.

« Späť na zoznam
Našli ste na stránke chybu?

Dôležité odkazy

Národný bezpečnostný úrad
ENISA
FIRST
TF-CSIRT

Copyright © 2025 Všetky práva vyhradené - Posledná aktualizácia 10. 09. 2025 20:49