Passa al contenuto principale

CVE-2026-8596 e CVE-2026-8597: problema relativo ad Amazon SageMaker Python SDK - Problemi nella verifica dell’integrità degli artefatti dei modelli

ID bollettino: 2026-031-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 14/05/2026 12:45 PDT
 

Descrizione:

Amazon SageMaker Python SDK è una libreria open source che consente di addestrare e distribuire modelli di machine learning su Amazon SageMaker. Il componente ModelBuilder semplifica la distribuzione dei modelli tramite l’automazione della preparazione dell’artefatto del modello e della creazione del modello SageMaker.

Abbiamo identificato due problemi relativi al meccanismo di verifica dell’integrità degli artefatti dei modelli nel componente ModelBuilder/Serve:

  • CVE-2026-8596: abbiamo identificato un problema di archiviazione di informazioni sensibili in testo semplice nel componente ModelBuilder/Serve. Durante la creazione di modelli tramite ModelBuilder, l’SDK archiviava una chiave di firma HMAC come variabile dell’ambiente di container (SAGEMAKER_SERVE_SECRET_KEY). Questa chiave è stata restituita in testo non criptato dalle API di descrizione di SageMaker (DescribeModel, DescribeEndpointConfig, DescribeModelPackage). Un attore autenticato da remoto che dispone delle autorizzazioni per chiamare queste API e dell’accesso in scrittura S3 al percorso dell’artefatto del modello potrebbe estrarre la chiave, falsificare firme di integrità valide per artefatti del modello creati appositamente e ottenere l’esecuzione del codice in container di inferenza.

  • CVE-2026-8597: abbiamo identificato un problema di mancata verifica dell’integrità nel gestore di inferenza Triton. Il gestore Triton ha deserializzato gli artefatti del modello senza condurre la verifica dell’integrità prima dell’esecuzione. Un attore autenticato da remoto con accesso in scrittura S3 al percorso dell’artefatto del modello potrebbe sostituire gli artefatti del modello con un payload di selezione creato appositamente che verrebbe deserializzato senza verifica, ottenendo così l’esecuzione del codice in container di inferenza.

Versioni interessate: Amazon SageMaker Python SDK >= v2.199.0 E <= v2.257.1, >= v3.0.0 E <= v3.7.1

Risoluzione:

Questi problemi sono stati risolti in Amazon SageMaker Python SDK v2.257.2 e v3.8.0. Consigliamo di eseguire l’aggiornamento alla versione più recente e di ricreare eventuali modelli sviluppati in precedenza con ModelBuilder utilizzando l’SDK aggiornato. I modelli creati con le versioni interessate potrebbero continuare a disporre della chiave HMAC archiviata nelle variabili dell’ambiente di container fino a quando non saranno ricreati con l’SDK con patch applicate.

Soluzioni alternative:

Se non è possibile eseguire l’aggiornamento immediatamente, gli utenti possono rimuovere manualmente la variabile dell’ambiente SAGEMAKER_SERVE_SECRET_KEY dai modelli SageMaker esistenti ricreando il modello senza questa variabile nella configurazione dell’ambiente di container. Inoltre, gli utenti devono limitare l’accesso in scrittura S3 ai percorsi dell’artefatto del modello solo a principali attendibili.

Riferimenti:


Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.