速報 ID: 2026-031-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 5 月 14 日 午後 12 時 45 分 (PDT)
 

説明:

Amazon SageMaker Python SDK は、Amazon SageMaker で機械学習モデルをトレーニングおよびデプロイするためのオープンソースライブラリです。ModelBuilder コンポーネントは、モデルアーティファクトの準備と SageMaker モデルの作成を自動化することで、モデルのデプロイを簡素化します。

当社では、ModelBuilder/Serve コンポーネントにおけるモデルアーティファクトの完全性検証メカニズムに影響を及ぼす 2 つの問題を特定しました。

• CVE-2026-8596: 当社では、ModelBuilder/Serve コンポーネントにおいて、機密情報がプレーンテキストで保存される問題を特定しました。ModelBuilder を使用してモデルを構築する際、SDK は、HMAC 署名キーをコンテナ環境変数 (SAGEMAKER_SERVE_SECRET_KEY) として保存していました。このキーは、SageMaker の describe API (DescribeModel、DescribeEndpointConfig、DescribeModelPackage) によってプレーンテキストで返されていました。これらの API を呼び出すためのアクセス許可と、モデルアーティファクトパスに対する S3 書き込みアクセスを持つ認証済みのリモートの攻撃者は、キーを抽出し、特別に細工されたモデルアーティファクトの有効な完全性署名を偽造して、推論コンテナ内でコードを実行できる可能性がありました。
  
  
• CVE-2026-8597: 当社では、Triton 推論ハンドラーにおいて、完全性検証が欠落している問題を特定しました。Triton ハンドラーは、実行前に完全性検証を行わずにモデルアーティファクトをデシリアライズしていました。モデルアーティファクトパスに対する S3 書き込みアクセスを持つ認証済みのリモートの攻撃者は、検証なしでデシリアライズされるよう特別に細工された pickle ペイロードでモデルアーティファクトを置き換えることで、推論コンテナ内でコード実行を実現できた可能性がありました。

影響を受けるバージョン: Amazon SageMaker Python SDK >= v2.199.0 かつ <= v2.257.1、>= v3.0.0 かつ <= v3.7.1

解決方法:

これらの問題は、Amazon SageMaker Python SDK v2.257.2 および v3.8.0 で対処されています。最新バージョンにアップグレードし、ModelBuilder を使用して以前に作成したモデルを更新済みの SDK で再構築することをお勧めします。影響を受けるバージョンを使用して作成されたモデルでは、パッチ適用済みの SDK を使用して再構築されるまで、コンテナの環境変数に HMAC キーが保存される可能性があります。

回避策:

すぐにアップグレードできない場合、ユーザーは、コンテナ環境設定で SAGEMAKER_SERVE_SECRET_KEY 環境変数なしでモデルを再作成することで、この変数を既存の SageMaker モデルから手動で削除できます。さらに、モデルアーティファクトパスに対する S3 書き込みアクセスを信頼されたプリンシパルにのみ制限することが推奨されます。

参考情報:

• CVE-2026-8596
• CVE-2026-8597
• GHSA-7hh5-prp2-mfh5
• GHSA-rq6v-x3j8-7qgf

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。