2024年度人工智能相关重点安全漏洞盘点

文章预览

一、CVE-2024-42479 漏洞概述 在 rpc_server::set_tensor  中存在一个“写入任意地址”的漏洞。该漏洞由 ggerganov 于 2024 年 8 月 12 日发布，编号为 GHSA-wcr5-566p-9cwj。受影响的版本为小于 b3561 的版本，已修补版本为 b3561 及以上。 漏洞CVSS 漏洞细节 漏洞的根源在于 rpc_tensor  结构中的 data  指针成员，该指针可以被用户控制，从而导致任意地址写入。以下是 rpc_tensor  结构的定义： #pragma pack(push, 1) struct rpc_tensor {     uint64_t id;     uint32_t type;     uint64_t buffer;     uint32_t ne[GGML_MAX_DIMS];     uint32_t nb[GGML_MAX_DIMS];     uint32_t op;     int32_t  op_params[GGML_MAX_OP_PARAMS / sizeof ( int32_t )];     int32_t  flags;     uint64_t src[GGML_MAX_SRC];     uint64_t view_src;     uint64_t view_offs;     uint64_t data;     char name[GGML_MAX_NAME];     char padding[ 4 ]; }; #pragma pack(pop) 通 ………………………………