公告 ID：2026-004-AWS
範圍： AWS
內容類型： 重要 (需要注意)
發布日期：2026 年 2 月 2 日中午 12:15 (太平洋標準時間)
 

我們已確認以下 CVE 問題：

• CVE-2026-1777 – SageMaker Python SDK 中的 HMAC 金鑰外洩
• CVE-2026-1778 – SageMaker Python SDK 中的不安全 TLS 組態

描述：

• CVE-2026-1777 – SageMaker Python SDK 中的 HMAC 金鑰外洩
  SageMaker Python SDK 的遠端函數功能會為每項任務使用一個 HMAC 金鑰，以保護儲存在 S3 中的序列化函數、引數和結果的完整性。我們發現了一個問題：HMAC 私密金鑰會儲存在環境變數中，並可透過 DescribeTrainingJob API 外洩。此漏洞將允許具有 DescribeTrainingJob 許可的第三方擷取金鑰、進一步偽造附帶有效 HMAC 的雲端序列化承載，並覆寫 S3 物件。
  
  
• CVE-2026-1778 – SageMaker Python SDK 中的不安全 TLS 組態
  SageMaker Python SDK 是一個開放原始碼程式庫，用於在 Amazon SageMaker 上訓練及部署機器學習模型。我們發現了一個問題：在 Triton Python 後端中，SSL 憑證驗證功能遭到全域停用。此組態是為了解決從公開來源 (例如 TorchVision) 下載模型時發生的 SSL 錯誤，但在匯入 Triton Python 模型時，該組態會影響所有的 HTTPS 連線。

受影響版本：

• SageMaker Python SDK v3 < v3.2.0 中的 HMAC 組態問題
• SageMaker Python SDK v2 < v2.256.0 中的 HMAC 組態問題
• SageMaker Python SDK v3 < v3.1.1 中的不安全 TLS 組態問題
• SageMaker Python SDK v2 < v2.256.0 中的不安全 TLS 組態問題

解決方案：

HMAC 組態問題已在 SageMaker Python SDK 版本 v3.2.0 和 v2.256.0 中修復。不安全 TLS 組態問題已在 SageMaker Python SDK 版本 v3.1.1 和 v2.256.0 中修復。建議您立即升級至最新版本，同時確保對任何分支或衍生程式碼進行了修補以包含新的修正。

解決方法：

建議使用自簽憑證進行內部模型下載的客戶，將其私有憑證認證機構 (CA) 憑證新增至容器映像，避免依賴 SDK 早期版本中不安全的組態。這種選擇性加入的方法在適應內部可信網域的同時，保持了安全性。

參考資料：

• CVE-2026-1777
• CVE-2026-1778
• GHSA-rjrp-m2jw-pv9c
• GHSA-62rc-f4v9-h543

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。