Проблема с PyTorch TorchServe - CVE-2024-35198, CVE-2024-35199

AWS признает уязвимости (CVE-2024-35198 и CVE-2024-35199) в версиях PyTorch TorchServe от 0.3.0 до 0.10.0. CVE-2024-35198 позволяет загружать модели по вредоносным URL, а CVE-2024-35199 связана с небезопасным привязыванием порта gRPC. Пользователи, использующие контейнеры глубокого обучения PyTorch (DLC) через Amazon SageMaker или EKS, не затронуты. Проблемы решены в версии TorchServe 0.11.0. Пользователи могут обновиться до последней версии TorchServe или загрузить DLC с исправленной версией, используя предоставленные теги изображений. Уязвимости устранены в DLC PyTorch версий 2.2, 2.1 и 1.13. AWS благодарит Kroll Cyber Risk за сотрудничество в раскрытии уязвимостей. Вопросы или комментарии могут быть направлены в AWS/Amazon Security через страницу отчетов о уязвимостях или по электронной почте. Публичные GitHub-issues не должны создаваться для этого уведомления.