Überspringen zum Hauptinhalt

CVE-2026-8596 & CVE-2026-8597: Problem mit dem Amazon SageMaker Python SDK – Probleme bei der Überprüfung der Integrität von Modell-Artefakten

Bulletin-ID: 2026-031-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 14.05.2026, 12.45 Uhr PDT
 

Beschreibung:

Das Amazon SageMaker Python SDK ist eine Open-Source-Bibliothek für das Training und die Bereitstellung von Modellen für Machine Learning auf Amazon SageMaker. Die ModelBuilder-Komponente vereinfacht die Modellbereitstellung, indem sie die Vorbereitung der Modellartefakte und die Erstellung von SageMaker-Modellen automatisiert.

Wir haben 2 Probleme identifiziert, die den Mechanismus zur Überprüfung der Integrität von Modellartefakten in der ModelBuilder/Serve-Komponente beeinträchtigen:

  • CVE-2026-8596: Wir haben in der ModelBuilder/Serve-Komponente ein Problem mit der Speicherung sensibler Daten im Klartext festgestellt. Beim Erstellen von Modellen mit ModelBuilder speicherte das SDK einen HMAC-Signaturschlüssel als Container-Umgebungsvariable (SAGEMAKER_SERVE_SECRET_KEY). Dieser Schlüssel wurde von den SageMaker-Beschreibungs-APIs (DescribeModel, DescribeEndpointConfig, DescribeModelPackage) in Klartext zurückgegeben. Ein remote authentifizierter Akteur, der über die Berechtigung zum Aufruf dieser APIs sowie über S3-Schreibzugriff auf den Pfad des Modellartefakts verfügt, könnte den Schlüssel extrahieren, gültige Integritätssignaturen für speziell manipulierte Modellartefakte fälschen und die Ausführung von Code in Inferenz-Containern erreichen.

  • CVE-2026-8597: Wir haben ein Problem mit einer fehlenden Integritätsprüfung im Triton-Inferenz-Handler festgestellt. Der Triton-Handler deserialisierte Modellartefakte, ohne vor der Ausführung eine Integritätsprüfung durchzuführen. Ein remote authentifizierter Akteur mit S3-Schreibzugriff auf den Pfad der Modellartefakte könnte diese durch eine speziell gestaltete Pickle-Nutzlast ersetzen, die ohne Überprüfung deserialisiert würde, wodurch die Ausführung von Code in Inferenz-Containern ermöglicht würde.

Betroffene Versionen: Amazon SageMaker Python SDK >= v2.199.0 UND <= v2.257.1, >= v3.0.0 UND <= v3.7.1

Lösung:

Diese Probleme wurden in Amazon SageMaker Python SDK v2.257.2 und v3.8.0 behoben. Wir empfehlen, auf die neueste Version zu aktualisieren und alle zuvor mit ModelBuilder erstellten Modelle mithilfe des aktualisierten SDK neu zu erstellen. Bei Modellen, die mit betroffenen Versionen erstellt wurden, ist der HMAC-Schlüssel möglicherweise immer noch in ihren Container-Umgebungsvariablen gespeichert, bis sie mit dem gepatchten SDK neu erstellt werden.

Problemumgehungen:

Sollte ein Upgrade nicht sofort möglich sein, können Benutzer die Umgebungsvariable SAGEMAKER_SERVE_SECRET_KEY manuell aus bestehenden SageMaker-Modellen entfernen, indem sie das Modell in der Konfiguration der Containerumgebung ohne diese Variable neu erstellen. Darüber hinaus sollten Benutzer den S3-Schreibzugriff auf Modellartefaktpfade nur auf vertrauenswürdige Prinzipale beschränken.

Referenzen:


Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.