Критическая уязвимость в DJL грозит атаками через Java-софт с встроенным ИИ
Главная » Новости

Критическая уязвимость в DJL грозит атаками через Java-софт с встроенным ИИ

Татьяна Никитина 03 Февраля 2025 - 15:22
...
Критическая уязвимость в DJL грозит атаками через Java-софт с встроенным ИИ

В Deep Java Library (DJL) объявилась уязвимость, позволяющая провести атаку на Windows, macOS или Linux при загрузке ИИ-модели. Патч уже доступен, пользователям настоятельно рекомендуется обновить библиотеку машинного обучения до версии 0.31.1.

Опенсорсный фреймворк DJL используется разработчиками Java-приложений для интеграции с ИИ. Уязвимости в таких инструментах особенно опасны в условиях общего доступа к ИИ-модели, развернутой в облаке или корпоративной среде.

Проблема CVE-2025-0851 (9,8 балла CVSS) классифицируется как обход каталога, то есть представляет собой возможность записи файлов в произвольное место в системе. В появлении уязвимости повинны утилиты ZipUtils.unzip и TarUtils.untar, используемые для распаковки архивов при загрузке ИИ-моделей.

Злоумышленник может, к примеру, создать в Windows вредоносный архив, и его распаковка на платформе macOS или Linux произойдет вне рабочего каталога. Таким же образом можно провести атаку на Windows, создав архив в macOS/Linux.

Эксплойт позволяет получить удаленный доступ к системе, вставив ключ SSH в файл authorized_keys. Данная уязвимость также провоцирует межсайтовый скриптинг (XSS) через инъекцию HTML-файлов в общедоступную директорию.

Кроме того, высока вероятность атаки на цепочку поставок с целью забэкдоривания корпоративного конвейера ИИ: аналитики данных и исследователи в области ИИ зачастую загружают предобученные модели из внешних источников.

Уязвимости подвержены все выпуски DJL ниже 0.31.1. Данных о злонамеренном использовании CVE-2025-0851 пока нет. Пользователям рекомендуется установить новейшую сборку пакета и загружать архивы ИИ-моделей только из доверенных источников — таких как DJL Model Zoo.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Angara Security нарастила выручку до 7,9 млрд рублей в 2024 году
Яков Шпунт 25 Апреля 2025 - 16:51
Корпорации Angara Security
Angara Security нарастила выручку до 7,9 млрд рублей в 2024 году

По итогам 2024 года совокупная выручка Angara Security достигла 7,97 млрд рублей, немного превысив показатель 2023 года (7,882 млрд рублей).

Как сообщили в компании, минувший год стал этапом подготовки к внутренней трансформации и перестройке бизнес-процессов. Особое внимание было уделено формированию продуктовых предложений для разных категорий заказчиков.

Спрос на решения Angara Security стимулировали сразу несколько факторов. Во-первых, это продолжающийся процесс импортозамещения, ужесточение регулирования и появление новых требований к обеспечению информационной безопасности. Во-вторых, сами компании стремятся выстроить полноценную систему киберзащиты до того, как столкнутся с атаками злоумышленников.

Кроме того, практический интерес к управляемым сервисам в сфере ИБ поддерживает сохраняющийся дефицит квалифицированных специалистов. Существенный рост спроса зафиксирован и на услуги в области DevSecOps — от построения безопасных процессов разработки до анализа кода и защиты среды разработки. Эти запросы во многом обусловлены активной цифровизацией бизнеса.

Среди наиболее значимых проектов 2024 года Angara Security выделяет:

  • разработку системы безопасного использования заимствованного кода для компании из финансового сектора;
  • создание центра мониторинга и реагирования на инциденты (SOC) для одного из крупных игроков транспортного рынка;
  • проект по анализу защищённости в промышленной компании, позволивший выявить критические уязвимости в подсистеме мониторинга ИБ-активов.

В 2025 году компания планирует нарастить объёмы предоставляемых услуг. В частности, планируется запуск набора сервисов, обеспечивающих киберустойчивость на всех этапах модели Cyber Kill Chain. Эти решения будут учитывать не только защиту самой организации, но и её подрядчиков и поставщиков.

«Angara Security работает в отрасли, которая напрямую зависит от экономических реалий. Сегодня заказчики чаще нуждаются в экспертизе, консалтинге и услугах, чем в поставке оборудования — в том числе из-за кадрового дефицита и пересмотра бюджетных приоритетов, — отметил генеральный директор Angara Security Сергей Шерстобитов. — По многим направлениям компании уже завершили импортозамещение. Всё это отразилось на структуре наших доходов. Мы видим новые точки роста. Главное конкурентное преимущество — это глубокая экспертиза и оперативность. В 2024 году мы значительно усилили команду: численность экспертов выросла более чем на 20%».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
ФинЦЕРТ и НКЦКИ предупредили банки о компрометации компаний ГК Ланит
Новость
ФинЦЕРТ и НКЦКИ предупредили банки о компрометации компаний...
Компании стали в 3,5 раза чаще получать письма с вредоносами
Новость
Компании стали в 3,5 раза чаще получать письма с вредоносами
Минцифры готовит пилот единой антифрод-платформы
Новость
Минцифры готовит пилот единой антифрод-платформы

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.