搜索技巧 海洋云增白 开源地图 AI 搜索答案 沙丘魔堡2 压缩机站 自由职业 policy 小团队 颈挂空调 Chumby 个人电脑 极端主义 团队 PostgreSQL AI工具 证券 DirectX DrawingPics 化学 KDE 披萨农场 多动症 植物学 分析化学 Three.js 大会 残疾人学校 初创 QB64 更多

关于CVE-2024-27322的声明 (blog.r-project.org)

R核心团队就网络安全公司HiddenLayer最近报告的序列化错误发表了简短声明。该错误已被报告为漏洞,编号为CVE-2024-27322。R是一种功能齐全的语言,包含与主机操作系统和互联网交互的函数。与任何此类语言一样,有很多方法可以编写具有恶意意图的代码。用户应确保他们只使用来自受信任来源的R代码和数据,并确保运行R的帐户的权限受到适当限制。这些基本的安全原则不限于R语言。在R中编写恶意代码的能力并不意味着该语言本身是不安全的。基本R语言由R核心开发团队中精选的一组高度信任的个人维护,其中大多数人已经在该语言上工作了几十年。像任何开源项目一样,我们依靠广泛的用户群来识别源代码中的错误。我们欢迎所有错误报告,包括那些具有安全隐患的错误报告。HiddenLayer的错误报告就是一个例子。简而言之,promise是用于实现惰性求值的语言对象。在R中构建的promise总是绑定到一个环境,但是HiddenLayer找到了一种通过反序列化一个被黑客攻击的文件来创建一个未绑定promise的方法。这个错误已经在R 4.4.0中修复,任何与之相关的攻击向量都已经被移除。我们拒绝接受与promise或序列化相关的更广泛的安全隐患,这两者都是该语言的核心特性。