PyTorch TorchServeの問題 - CVE-2024-35198、CVE-2024-35199

AWSは、PyTorch TorchServeのバージョン0.3.0から0.10.0までの脆弱性（CVE-2024-35198およびCVE-2024-35199）を認めています。 CVE-2024-35198は、悪意のあるURLを使用したモデルダウンロードを許可しますが、CVE-2024-35199は、gRPCポートバインディングのセキュリティが不十分です。 Amazon SageMakerまたはEKSを通じてPyTorch推論Deep Learning Containers（DLCs）を使用している顧客は影響を受けません。 TorchServeのバージョン0.11.0では、これらの問題が解決されています。 顧客は、最新バージョンのTorchServeにアップグレードするか、提供されたイメージタグを使用してパッチされたバージョンのDLCsを取得できます。 この脆弱性は、PyTorch 2.2、2.1、および1.13のDLCsで解決されています。 AWSは、脆弱性の開示においてKroll Cyber Riskの協力を認めています。 質問やコメントは、脆弱性報告ページまたはメールを通じてAWS/Amazon Securityに送信できます。 このアドバイザリについては、パブリックなGitHubの問題を生成しないでください。