# ተጽዕኖ LiteLLM ስሪቶች ከ1.81.16 እስከ 1.83.7 በፕሮክሲው API ቁልፍ ማረጋገጫ ዘዴ [S1] ውስጥ ወሳኝ የSQL መርፌ ተጋላጭነትን ይይዛሉ። ስኬታማ ብዝበዛ ያልተረጋገጠ አጥቂ የደህንነት ቁጥጥሮችን እንዲያሳልፍ ወይም ያልተፈቀደ የውሂብ ጎታ ስራዎችን [S1] እንዲያከናውን ያስችለዋል። ይህ ተጋላጭነት በስርአት ሚስጥራዊነት እና ታማኝነት [S2] ላይ ያለውን ከፍተኛ ተፅእኖ የሚያንፀባርቅ የሲቪኤስኤስ ነጥብ 9.8 ተመድቧል።
የስር መንስኤ
ተጋላጭነቱ የሚኖረው የ LiteLLM ፕሮክሲው በAPI ቁልፍ በAuthorization ራስጌ ውስጥ የቀረበውን የAuthorization ቁልፍ በውሂብ ጎታ መጠይቅ [S1] ላይ በአግባቡ መጠቀም ባለመቻሉ ነው። ይህ በራስጌው ውስጥ የተካተቱ ተንኮል አዘል የSQL ትዕዛዞችን በኋለኛው የውሂብ ጎታ [S3] እንዲፈፀሙ ያስችላቸዋል።
የተጎዱ ስሪቶች
- LiteLLM *: ስሪቶች 1.81.16 እስከ (ግን ሳያካትት) 1.83.7 [S1].
ኮንክሪት ጥገናዎች
- LiteLLM አዘምን *: ወዲያውኑ
litellmፓኬጅ ወደ ስሪት 1.83.7 ወይም ከዚያ በኋላ ያሻሽሉ የመርፌት ጉድለቱን [S1]። - የኦዲት ዳታቤዝ ምዝግብ ማስታወሻዎች፡ የውሂብ ጎታ መዳረሻ ምዝግብ ማስታወሻዎችን ከተኪ አገልግሎት [S1] የመነጨ ያልተለመዱ የጥያቄ ቅጦችን ወይም ያልተጠበቀ አገባብ ይገምግሙ።
የማወቂያ አመክንዮ
የደህንነት ቡድኖች መጋለጥን በሚከተሉት መለየት ይችላሉ፡-
- ስሪት መቃኘት፡ አካባቢን መፈተሽ በተጎዳው ክልል (1.81.16 እስከ 1.83.6) [S1] ውስጥ ለ LiteLLM ስሪቶች ያሳያል።
- የርዕስ ክትትል፡ የSQL መርፌ ቅጦችን ለ LiteLLM ፕሮክሲ ገቢ ጥያቄዎችን በተለይም በ
Authorization: Bearerማስመሰያ መስክ [S1] ውስጥ መመርመር።