安全公告/【CVE-2024-5206】
基本信息
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:中危
影响源码包:python-scikit-learn;
CVSS评分:4.7
发现日期:2024-11-25
修复日期:2024-11-28
漏洞描述
在 scikit-learn 的 TfidfVectorizer 中发现了一个敏感数据泄露漏洞,具体来说是在 1.4.1.post1 及之前的版本中,该漏洞已在 1.5.0 版本中修复。该漏洞源于在 `stop_words_` 属性中意外存储了训练数据中存在的所有标记,而不是仅存储 TF-IDF 技术运行所需的标记子集。此行为可能导致敏感信息泄露,因为 `stop_words_` 属性可能包含本应丢弃而不是存储的标记,例如密码或密钥。此漏洞的影响因矢量化器正在处理的数据的性质而异。
修复方式
软件包升级 dnf update python3-scikit-learn