Veröffentlichungsdatum: 10.02.2023 14:00 Uhr PDT
AWS sind CVE-2023-43654 und CVE-2022-1471 in den PyTorch TorchServe-Versionen 0.3.0 bis 0.8.1 bekannt, die eine Version der Open-Source-Bibliothek SnakeYAML v1.31 verwenden. TorchServe Version 0.8.2 behebt diese Probleme. AWS empfiehlt Kunden, die PyTorch Inference Deep Learning Containers (DLC) 1.13.1, 2.0.0 oder 2.0.1 in EC2, EKS oder ECS verwenden, die vor dem 11. September 2023 veröffentlicht wurden, ein Update auf TorchServe Version 0.8.2 durchzuführen.
Kunden, die PyTorch Inference Deep Learning Containers (DLC) über Amazon SageMaker verwenden, sind nicht betroffen.
Kunden können die folgenden neuen Image-Tags verwenden, um DLCs abzurufen, die mit der gepatchten TorchServe-Version 0.8.2 ausgeliefert werden:
| x86-GPU | v1.9-pt-ec2-2.0.1-inf-gpu-py310 |
| x86-CPU | v1.8-pt-ec2-2.0.1-inf-cpu-py310 |
| Graviton | v1.7-pt-graviton-ec2-2.0.1-inf-cpu-py310 |
| Neuron | 1.13.1-neuron-py310-sdk2.13.2-ubuntu20.04 1.13.1-neuronx-py310-sdk2.13.2-ubuntu20.04 1.13.1-neuronx-py310-sdk2.13.2-ubuntu20.04 |
Die vollständigen Details zur DLC-Image-URI finden Sie unter: https://github.com/aws/deep-learning-containers/blob/master/available_images.md#available-deep-learning-containers-images.
Wir möchten Oligo Security für die verantwortungsvolle Offenlegung dieses Problems und die Zusammenarbeit mit den PyTorch-Betreuern an seiner Lösung danken.
Wenn Sie Fragen oder Kommentare zu dieser Empfehlung haben, wenden Sie sich bitte über unsere Seite zur Meldung von Sicherheitslücken oder direkt per E-Mail aws-security@amazon.com an AWS/Amazon Security. Erstellen Sie bitte kein öffentliches GitHub-Problem.