Saltar al contenido principal

CVE-2026-8596 y CVE-2026-8597: problema con Amazon SageMake Python SDK: problemas de verificación de la integridad de los artefactos del modelo

ID del boletín: 2026-031-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 14/05/2026 12:45 h PDT
 

Descripción:

Amazon SageMaker Python SDK es una biblioteca de código abierto para implementar y entrenar modelos de machine learning en Amazon SageMaker. El componente ModelBuilder simplifica la implementación del modelo al automatizar la preparación de los artefactos del modelo y la creación del modelo de SageMaker.

Identificamos dos problemas que afectan al mecanismo de verificación de la integridad del artefacto del modelo en el componente ModelBuilder/Serve:

  • CVE-2026-8596: Identificamos un problema de almacenamiento de información confidencial en texto no cifrado en el componente ModelBuilder/Serve. Al crear modelos con ModelBuilder, el SDK almacenaba una clave de firma HMAC como una variable de entorno de contenedor (SAGEMAKER_SERVE_SECRET_KEY). Esta clave fue devuelta en texto plano por las API de descripción de SageMaker (DescribeModel, DescribeEndpointConfig, DescribeModelPackage). Un actor autenticado de forma remota con permisos para llamar a estas API y acceso de escritura de S3 a la ruta del artefacto del modelo podría extraer la clave, falsificar firmas de integridad válidas para artefactos del modelo especialmente diseñados y lograr la ejecución del código en contenedores de inferencia.

  • CVE-2026-8597: Identificamos un problema de verificación de integridad que faltaba en el controlador de inferencias de Triton. El controlador Triton deserializó los artefactos del modelo sin realizar una verificación de integridad antes de la ejecución. Un actor autenticado de forma remota con acceso de escritura de S3 a la ruta del artefacto del modelo podría reemplazar los artefactos del modelo por una carga útil pickle especialmente diseñada que se deserializaría sin verificación, lo que permitiría la ejecución del código en contenedores de inferencia.

Versiones afectadas: Amazon SageMaker Python SDK >= v2.199.0 Y <= v2.257.1, >= v3.0.0 Y <= v3.7.1

Resolución:

Estos problemas se han abordado en las versiones v2.257.2 y v3.8.0 de Amazon SageMaker Python SDK . Recomendamos actualizar a la versión más reciente y reconstruir los modelos creados anteriormente con ModelBuilder mediante el SDK actualizado. Es posible que los modelos creados con las versiones afectadas aún tengan la clave HMAC almacenada en sus variables de entorno de contenedor hasta que se reconstruyan con el SDK parcheado.

Soluciones alternativas:

Si la actualización no es posible de inmediato, los usuarios pueden eliminar manualmente la variable de entorno SAGEMAKER_SERVE_SECRET_KEY de los modelos de SageMaker existentes recreando el modelo sin esta variable en la configuración del entorno del contenedor. Además, los usuarios deben restringir el acceso de escritura de S3 para modelar las rutas de los artefactos solo a los directores de confianza.

Referencias:


Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.