Data di pubblicazione: 02/10/2023 14:00 EDT
AWS è a conoscenza dei problemi CVE-2023-43654 e CVE-2022-1471 nelle versioni di TorchServe da 0.3.0 a 0.8.1 per PyTorch, che utilizzano una versione della libreria open source SnakeYAML v1.31. La versione 0.8.2 di TorchServe risolve questi problemi. AWS consiglia ai clienti che utilizzano PyTorch per inferenza su Deep Learning Containers (DLC) 1.13.1, 2.0.0 o 2.0.1 in EC2, EKS o ECS, rilasciati prima dell'11 settembre 2023, di effettuare l'aggiornamento alla versione 0.8.2 di TorchServe.
I clienti che utilizzano PyTorch per inferenza su Deep Learning Containers (DLC) tramite Amazon SageMaker non sono interessati.
I clienti possono utilizzare i seguenti nuovi tag di immagine per estrarre i DLC forniti con la versione 0.8.2 di TorchServe con patch:
| GPU x86 | v1.9-pt-ec2-2.0.1-inf-gpu-py310 |
| CPU x86 | v1.8-pt-ec2-2.0.1-inf-cpu-py310 |
| Graviton | v1.7-pt-graviton-ec2-2.0.1-inf-cpu-py310 |
| Neuron | 1.13.1-neuron-py310-sdk2.13.2-ubuntu20.04 1.13.1-neuronx-py310-sdk2.13.2-ubuntu20.04 1.13.1-neuronx-py310-sdk2.13.2-ubuntu20.04 |
I dettagli completi dell'URI dell'immagine DLC sono disponibili all'indirizzo: https://github.com/aws/deep-learning-containers/blob/master/available_images.md#available-deep-learning-containers-images.
Vorremmo ringraziare Oligo Security per aver divulgato in modo responsabile questo problema e aver collaborato con i manutentori di PyTorch alla sua risoluzione.
In caso di domande o commenti su questo avviso, ti invitiamo a contattare AWS/Amazon Security tramite la nostra pagina di segnalazione delle vulnerabilità o direttamente via e-mail all'indirizzo aws-security@amazon.com. Ti preghiamo di non creare un problema pubblico su GitHub.