発行日: 2023 年 10 月 2 日 午後 2 時 (EDT)
AWS は、PyTorch TorchServe バージョン 0.3.0 から 0.8.1 における CVE-2023-43654 および CVE-2022-1471 を認識しています。これらは、SnakeYAML v1.31 オープンソースライブラリのバージョンを使用しています。TorchServe バージョン 0.8.2 は、これらの問題を解決します。 AWS では、2023 年 9 月 11 日以前にリリースされた EC2、EKS、または ECS で PyTorch 推論向け Deep Learning Containers (DLC) 1.13.1、2.0.0、または 2.0.1 を使用するお客様に TorchServer バージョン 0.8.2 への更新を推奨しています。
Amazon SageMaker より PyTorch 推論向け Deep Learning Containers (DLC) を使用しているお客様には影響はありません。
お客様は次の新しいイメージタグを使用して、パッチ適用済みの TorchServe バージョン 0.8.2 に付属している DLC を取得できます。
x86 GPU | v1.9-pt-ec2-2.0.1-inf-gpu-py310 |
x86 CPU | v1.8-pt-ec2-2.0.1-inf-cpu-py310 |
Graviton | v1.7-pt-graviton-ec2-2.0.1-inf-cpu-py310 |
Neuron | 1.13.1-neuron-py310-sdk2.13.2-ubuntu20.04 1.13.1-neuronx-py310-sdk2.13.2-ubuntu20.04 1.13.1-neuronx-py310-sdk2.13.2-ubuntu20.04 |
DLC のイメージ URI に関する詳細は、こちらのサイト ( https://github.com/aws/deep-learning-containers/blob/master/available_images.md#available-deep-learning-containers-images) ですべてご確認いただけます。
責任を持ってこの問題を明らかにし、PyTorch 管理者とその解決にご協力くださった Oligo Security に感謝します。
このアドバイザリについてご質問やご意見がございましたら、脆弱性レポートページから AWS/Amazon Security にお問い合わせいただくか、aws-security@amazon.com 宛てに電子メールで直接お問い合わせください。パブリックな GitHub issue は作成しないでください。