AWSは、PyTorch TorchServeのバージョン0.3.0から0.10.0までの脆弱性（CVE-2024-35198およびCVE-2024-35199）を認めています。CVE-2024-35198は、悪意のあるURLを使用したモデルダウンロードを許可しますが、CVE-2024-35199は、gRPCポートバインディングのセキュリティが不十分です。Amazon SageMakerまたはEKSを通じてPyTorch推論Deep Learning Containers（DLCs）を使用している顧客は影響を受けません。TorchServeのバージョン0.11.0では、これらの問題が解決されています。顧客は、最新バージョンのTorchServeにアップグレードするか、提供されたイメージタグを使用してパッチされたバージョンのDLCsを取得できます。この脆弱性は、PyTorch 2.2、2.1、および1.13のDLCsで解決されています。AWSは、脆弱性の開示においてKroll Cyber Riskの協力を認めています。質問やコメントは、脆弱性報告ページまたはメールを通じてAWS/Amazon Securityに送信できます。このアドバイザリについては、パブリックなGitHubの問題を生成しないでください。