發布日期:2023/10/02 02:00 PM EDT
AWS 知道 PyTorch TorchServe 版本 0.3.0 到 0.8.1 中的 CVE-2023-43654 和 CVE-2022-1471,其中使用的是 SnakeYAML v1.31 開源庫的版本。TorchServe 版本 0.8.2 解決了這些問題。 AWS 建議客戶在 2023 年 9 月 11 日之前發行的 EC2、EKS 或 ECS 中使用 PyTorch 推論深度學習容器 (DLC) 1.13.1、2.0.0 或 2.0.1,並更新至TorchServe 版本 0.8.2。
透過 Amazon SageMaker 使用 PyTorch 推論深度學習容器 (DLC) 的客戶不會受到影響。
客戶可以使用以下新的圖像標籤來提取隨附修補 TorchServe 版本 0.8.2 的 DLC:
| x86 GPU | v1.9-pt-ec2-2.0.1-inf-gpu-py310 |
| x86 CPU | v1.8-pt-ec2-2.0.1-inf-cpu-py310 |
| Graviton | v1.7-pt-graviton-ec2-2.0.1-inf-cpu-py310 |
| Neuron | 1.13.1-neuron-py310-sdk2.13.2-ubuntu20.04 1.13.1-neuronx-py310-sdk2.13.2-ubuntu20.04 1.13.1-neuronx-py310-sdk2.13.2-ubuntu20.04 |
您可以在以下網址找到完整 DLC 圖片 URI 詳細資訊:https://github.com/aws/deep-learning-containers/blob/master/available_images.md#available-deep-learning-containers-images 。
我們很感謝 Oligo Security 負責任地披露了此問題並與 PyTorch 維護一同解決問題。
如果您對本公告有任何疑問或意見,請透過我們的漏洞報告頁面或直接透過電子郵件至 aws-security@amazon.com 聯絡 AWS/Amazon Security。請不要建立公開的 GitHub 問題。