요약 : 보안 외신 시큐리티위크에 의하면 여러 오픈소스 인공지능 플랫폼에서 다수의 취약점이 발견됐다고 한다. ML플로우(MLflow), 클리어ML(ClearML), 허깅페이스(Hugging Face)와 같은 오픈소스 플랫폼들이 문제인데, 특히 ML플로우에서는 초고위험도로 분류되는 취약점이 4개나 나왔다고 한다. 허깅페이스에서도 초고위험도 취약점이 하나 나왔다. 어떤 취약점을 익스플로잇 하느냐에 따라 다르지만 공격에 성공할 경우 서버 내 저장된 파일을 삭제하고, 원격에서 코드를 실행할 수 있는 등 여러 악성 행위를 실시할 수 있게 된다.


배경 : 이번에 문제가 된 초고위험도 취약점은 CVE-2023-6831, CVE-2024-0520, CVE-2023-6977, CVE-2023-6709, CVE-2023-7018이다. 앞의 4개는 ML플로우에서, 마지막 1개는 허깅페이스에서 발견됐다. 모든 플랫폼 메인테이너들은 알맞은 패치를 개발해 배포했기 때문에 사용자라면 버전 확인을 통해 최신화시킨 상태에서 활용해야 안전하다.

말말말 : “이번 취약점들은 이미 45일 전에 각 플랫폼 책임자들에게 제보되었습니다. 패치가 개발되고 충분히 적용될 때까지 기다렸다가 세부 내용을 공개했습니다.” -헌터(Huntr)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>