PyTorch TorchServe의 문제 - CVE-2024-35198, CVE-2024-35199

아마존 웹 서비스(AWS)는 PyTorch TorchServe 버전 0.3.0부터 0.10.0까지의 취약점(CVE-2024-35198 및 CVE-2024-35199)을 확인했습니다. CVE-2024-35198는 악의적인 URL을 사용하여 모델 다운로드를 허용하는 취약점이며, CVE-2024-35199는 안전하지 않은 gRPC 포트 바인딩 취약점입니다. 아마존 세이지메이커(Amazon SageMaker) 또는 EKS를 통해 PyTorch 추론 Deep Learning Containers(DLCs)를 사용하는 고객은 영향을 받지 않습니다. TorchServe 버전 0.11.0은 이러한 문제를 해결합니다. 고객은 최신 버전의 TorchServe로 업그레이드하거나 제공된 이미지 태그를 사용하여 패치된 버전의 DLC를 가져올 수 있습니다. 이 취약점은 PyTorch 2.2, 2.1 및 1.13 DLC에서 해결되었습니다. AWS는 취약점 공개에 대한 Kroll Cyber Risk의 협력을 인정합니다. 질문이나 의견은 취약점 보고 페이지를 통해 AWS/아마존 보안에 전달하거나 이메일을 통해 전달할 수 있습니다. 이 고지 사항에 대한 공개 GitHub 이슈는 생성하지 않아야 합니다.