Критическая уязвимость в DJL грозит атаками через Java-софт с встроенным ИИ

Критическая уязвимость в DJL грозит атаками через Java-софт с встроенным ИИ

Критическая уязвимость в DJL грозит атаками через Java-софт с встроенным ИИ

В Deep Java Library (DJL) объявилась уязвимость, позволяющая провести атаку на Windows, macOS или Linux при загрузке ИИ-модели. Патч уже доступен, пользователям настоятельно рекомендуется обновить библиотеку машинного обучения до версии 0.31.1.

Опенсорсный фреймворк DJL используется разработчиками Java-приложений для интеграции с ИИ. Уязвимости в таких инструментах особенно опасны в условиях общего доступа к ИИ-модели, развернутой в облаке или корпоративной среде.

Проблема CVE-2025-0851 (9,8 балла CVSS) классифицируется как обход каталога, то есть представляет собой возможность записи файлов в произвольное место в системе. В появлении уязвимости повинны утилиты ZipUtils.unzip и TarUtils.untar, используемые для распаковки архивов при загрузке ИИ-моделей.

Злоумышленник может, к примеру, создать в Windows вредоносный архив, и его распаковка на платформе macOS или Linux произойдет вне рабочего каталога. Таким же образом можно провести атаку на Windows, создав архив в macOS/Linux.

Эксплойт позволяет получить удаленный доступ к системе, вставив ключ SSH в файл authorized_keys. Данная уязвимость также провоцирует межсайтовый скриптинг (XSS) через инъекцию HTML-файлов в общедоступную директорию.

Кроме того, высока вероятность атаки на цепочку поставок с целью забэкдоривания корпоративного конвейера ИИ: аналитики данных и исследователи в области ИИ зачастую загружают предобученные модели из внешних источников.

Уязвимости подвержены все выпуски DJL ниже 0.31.1. Данных о злонамеренном использовании CVE-2025-0851 пока нет. Пользователям рекомендуется установить новейшую сборку пакета и загружать архивы ИИ-моделей только из доверенных источников — таких как DJL Model Zoo.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Протесты поколения Z вынудили власти Непала разблокировать соцсети

Правительство Непала отменило запрет на использование соцсетей после того, как тысячи молодых людей вышли на улицы Катманду с протестами. Об этом сообщил министр связи и информации страны Притви Субба Гурунг, передаёт Press Trust of India.

Блокировка действовала с 5 сентября: власти заявляли, что популярные платформы нарушили новые правила регистрации и должны были открыть представительства в стране.

Под запрет попали YouTube, X (Twitter), Reddit, LinkedIn, а также WhatsApp, Facebook и Instagram (принадлежащие Meta, которая признана экстремистской и запрещена в России).

Но запрет вызвал бурную реакцию. На улицы вышла в основном молодёжь с плакатами и лозунгами «Запретите коррупцию, а не социальные сети» и «Разблокируйте соцсети». Протесты обернулись трагедией — погибло не менее 19 человек, более 300 получили ранения.

Вечером 8 сентября в стране прошло экстренное заседание правительства. В итоге министры распорядились восстановить работу соцсетей — «в соответствии с требованиями поколения Z», которое и стало главным участником уличных протестов у здания парламента.

А у нас тем временем с 1 сентября запретили блокировку RuStore на гаджетах Apple. Это значит, что теперь владельцы iPhone и iPad смогут свободно устанавливать и обновлять приложения через российский магазин, а также оплачивать покупки внутри этих приложений.

А в июле Роскомнадзор объявил о блокировке сервиса Speedtest от компании Ookla, сославшись на выявленные угрозы, которые якобы могут повлиять на безопасность функционирования сетей связи и устойчивость российского сегмента интернета.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru