エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
Amazon Translateでも利用されている機械翻訳フレームワークSockeyeとPythonのマイクロサービスフレーム... Amazon Translateでも利用されている機械翻訳フレームワークSockeyeとPythonのマイクロサービスフレームワークnamekoの任意のコード実行に繋がる脆弱性を発見し、報告を行い、CVEを2件(CVE-2021-43811, CVE-2021-41078)取得しました。 オープンソースソフトウェア(OSS)の脆弱性を発見、報告、CVEを取得までどのような過程を経たのか、OSSの脆弱性を見つける場合にはどのようにすると良いのか、報告方法はどうすればいいのか、今回の経験をもとにポイントを紹介します。 脆弱性報告の経緯 そもそもOSSの脆弱性を発見した経緯としては、前回の「TensorFlowだけじゃない!安全でないデシリアライゼーション in Python」の記事を書く中で、GitHubでyaml.unsafe_loadやyaml.UnsafeLoaderで検索すると脆弱な実