Problème avec PyTorch TorchServe - CVE-2024-35198, CVE-2024-35199

Amazon Web Services (AWS) reconnaît des vulnérabilités (CVE-2024-35198 et CVE-2024-35199) dans les versions 0.3.0 à 0.10.0 de PyTorch TorchServe. La vulnérabilité CVE-2024-35198 permet le téléchargement de modèles avec des URL malveillantes, tandis que la vulnérabilité CVE-2024-35199 concerne une liaison de port gRPC non sécurisée. Les clients utilisant les conteneurs d'apprentissage automatique profond (DLC) PyTorch Inference via Amazon SageMaker ou EKS ne sont pas affectés. La version 0.11.0 de TorchServe résout ces problèmes. Les clients peuvent mettre à jour vers la dernière version de TorchServe ou extraire les DLC avec la version corrigée en utilisant les balises d'image fournies. Les vulnérabilités sont corrigées dans les DLC PyTorch 2.2, 2.1 et 1.13. AWS remercie Kroll Cyber Risk pour sa collaboration dans la divulgation des vulnérabilités. Les questions ou les commentaires peuvent être adressés à AWS/Amazon Security via la page de signalement des vulnérabilités ou par courriel. Il est déconseillé de créer des problèmes publics sur GitHub pour cette notification.