速報 ID: 2026-004-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 2 月 2 日 午後 12 時 15 分 (PST)
 

AWS は、次の CVE を特定しました。

• CVE-2026-1777 – SageMaker Python SDK の HMAC の露出
• CVE-2026-1778 – SageMaker Python SDK の安全でない TLS 設定

説明:

• CVE-2026-1777 – SageMaker Python SDK の HMAC の露出
  SageMaker Python SDK のリモート関数機能は、ジョブごとの HMAC キーを使用して、S3 に保存されるシリアル化された関数、引数、結果の整合性を保護します。当社は HMAC シークレットキーが環境変数に保存され、DescribeTrainingJob API を介して公開されるという問題を特定しました。これにより、DescribeTrainingJob アクセス許可を持つサードパーティーがキーを抽出し、有効な HMAC を使用して cloudpickle 化されたペイロードを偽造して、S3 オブジェクトを上書きできるようになります。
  
  
• CVE-2026-1778 – SageMaker Python SDK の安全でない TLS 設定
  SageMaker Python SDK は、Amazon SageMaker で機械学習モデルをトレーニングおよびデプロイするためのオープンソースライブラリです。当社は Triton Python バックエンドで SSL 証明書検証がグローバルで無効になっている問題を特定しました。この設定は、公開ソース (TorchVisionなど) からモデルをダウンロードする際の SSL エラーを回避するために導入されたもので、Triton Python モデルのインポート時にすべての HTTPS 接続に影響がありました。

影響を受けるバージョン:

• SageMaker Python SDK v3 < v3.2.0 の HMAC 設定
• SageMaker Python SDK v2 < v2.256.0 の HMAC 設定
• SageMaker Python SDK v3 < v3.1.1 の安全でない TLS 設定
• SageMaker Python SDK v2 < v2.256.0 の安全でない TLS 設定

解決方法:

HMAC 設定の問題は SageMaker Python SDK バージョン v3.2.0 と v2.256.0 で解決されています。安全でない TLS 設定の問題は、SageMaker Python SDK バージョン v3.1.1 と v2.256.0 で解決されています。今すぐ最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

内部モデルのダウンロードに自己署名証明書を使用するお客様は、SDK の以前の安全でない設定に頼るのではなく、プライベート認証局 (CA) 証明書をコンテナイメージに追加する必要があります。このオプトインアプローチは、内部の信頼できるドメインに対応しながらセキュリティを維持します。

参考情報:

• CVE-2026-1777
• CVE-2026-1778
• GHSA-rjrp-m2jw-pv9c
• GHSA-62rc-f4v9-h543

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。