发布日期:2023 年 10 月 2 日下午 2:00(美国东部夏令时)
AWS 已注意到 PyTorch TorchServe 0.3.0 至 0.8.1 版本中存在 CVE-2023-43654 和 CVE-2022-1471 问题,所述版本使用了 SnakeYAML v1.31 开源库的版本。TorchServe 0.8.2 版本解决了这些问题。 AWS 建议在 2023 年 9 月 11 日之前发布的 EC2、EKS 或 ECS 中使用 PyTorch 推理深度学习容器(DLC)1.13.1、2.0.0 或 2.0.1 的客户更新到 TorchServe 0.8.2 版本。
通过 Amazon SageMaker 使用 PyTorch 推理深度学习容器(DLC)的客户不受影响。
客户可以使用以下新映像标签来拉取已修补的 TorchServe 0.8.2 版本附带的 DLC:
| x86 GPU | v1.9-pt-ec2-2.0.1-inf-gpu-py310 |
| x86 CPU | v1.8-pt-ec2-2.0.1-inf-cpu-py310 |
| Graviton | v1.7-pt-graviton-ec2-2.0.1-inf-cpu-py310 |
| Neuron | 1.13.1-neuron-py310-sdk2.13.2-ubuntu20.04 1.13.1-neuronx-py310-sdk2.13.2-ubuntu20.04 1.13.1-neuronx-py310-sdk2.13.2-ubuntu20.04 |
完整的 DLC 映像 URI 详细信息可在以下网址找到:https://github.com/aws/deep-learning-containers/blob/master/available_images.md#available-deep-learning-containers-images。
我们要感谢 Oligo Security 负责任地披露这个问题并与 PyTorch 维护者合作解决这个问题。
如果您对本公告有任何疑问或意见,请通过我们的漏洞报告页面或直接发送电子邮件至 aws-security@amazon.com 与 AWS/Amazon Security 联系。请不要创建公开的 GitHub 问题。