게시일: 2023년 10월 2일 오후 2시(EDT)
AWS는 SnakeYAML v1.31 오픈 소스 라이브러리 버전을 사용하는 PyTorch TorchServe 버전 0.3.0에서 0.8.1의 CVE-2023-43654 및 CVE-2022-1471에 대해 인지하고 있습니다. TorchServe 버전 0.8.2는 이러한 문제를 해결합니다. AWS는 2023년 9월 11일 이전에 출시된 EC2, EKS 또는 ECS에서 PyTorch 추론 딥 러닝 컨테이너(DLC) 1.13.1, 2.0.0 또는 2.0.1을 사용하는 고객에게 TorchServe 버전 0.8.2로 업데이트할 것을 권장합니다.
Amazon SageMaker를 통해 PyTorch 추론 딥 러닝 컨테이너(DLC)를 사용하는 고객은 영향을 받지 않습니다.
고객은 다음과 같은 새 이미지 태그를 사용하여 패치된 TorchServe 버전 0.8.2와 함께 제공되는 DLC를 가져올 수 있습니다.
| x86 GPU | v1.9-pt-ec2-2.0.1-inf-gpu-py310 |
| x86 CPU | v1.8-pt-ec2-2.0.1-inf-cpu-py310 |
| Graviton | v1.7-pt-graviton-ec2-2.0.1-inf-cpu-py310 |
| Neuron | 1.13.1-neuron-py310-sdk2.13.2-ubuntu20.04 1.13.1-neuronx-py310-sdk2.13.2-ubuntu20.04 1.13.1-neuronx-py310-sdk2.13.2-ubuntu20.04 |
전체 DLC 이미지 URI 세부 정보는 https://github.com/aws/deep-learning-containers/blob/master/available_images.md#available-deep-learning-containers-images에서 확인할 수 있습니다.
이 문제를 책임감 있게 공개하고 해결을 위해 PyTorch 관리자와 협조해 주신 Oligo Security에 감사드립니다.
이 권고에 대한 질문이나 의견이 있는 경우 취약성 보고 페이지를 통해 AWS/Amazon Security에 문의하거나 aws-security@amazon.com으로 이메일을 보내 직접 AWS/Amazon Security에 문의하시기 바랍니다. 공개 GitHub 이슈 생성은 지양해 주시기 바랍니다.