発行日: 2023 年 10 月 2 日 午後 2 時 (EDT)
AWS は、PyTorch TorchServe バージョン 0.3.0 から 0.8.1 における CVE-2023-43654 および CVE-2022-1471 を認識しています。これらは、SnakeYAML v1.31 オープンソースライブラリのバージョンを使用しています。TorchServe バージョン 0.8.2 は、これらの問題を解決します。 AWS では、2023 年 9 月 11 日以前にリリースされた EC2、EKS、または ECS で PyTorch 推論向け Deep Learning Containers (DLC) 1.13.1、2.0.0、または 2.0.1 を使用するお客様に TorchServer バージョン 0.8.2 への更新を推奨しています。
Amazon SageMaker より PyTorch 推論向け Deep Learning Containers (DLC) を使用しているお客様には影響はありません。
お客様は次の新しいイメージタグを使用して、パッチ適用済みの TorchServe バージョン 0.8.2 に付属している DLC を取得できます。
| x86 GPU | v1.9-pt-ec2-2.0.1-inf-gpu-py310 |
| x86 CPU | v1.8-pt-ec2-2.0.1-inf-cpu-py310 |
| Graviton | v1.7-pt-graviton-ec2-2.0.1-inf-cpu-py310 |
| Neuron | 1.13.1-neuron-py310-sdk2.13.2-ubuntu20.04 1.13.1-neuronx-py310-sdk2.13.2-ubuntu20.04 1.13.1-neuronx-py310-sdk2.13.2-ubuntu20.04 |
DLC のイメージ URI に関する詳細は、こちらのサイト ( https://github.com/aws/deep-learning-containers/blob/master/available_images.md#available-deep-learning-containers-images) ですべてご確認いただけます。
責任を持ってこの問題を明らかにし、PyTorch 管理者とその解決にご協力くださった Oligo Security に感謝します。
このアドバイザリについてご質問やご意見がございましたら、脆弱性レポートページから AWS/Amazon Security にお問い合わせいただくか、aws-security@amazon.com 宛てに電子メールで直接お問い合わせください。パブリックな GitHub issue は作成しないでください。