Результаты безопасности в SageMaker Python SDK

AWS выпустила бюллетень безопасности, в котором подробно описываются две уязвимости в Python SDK SageMaker. Первая уязвимость, CVE-2026-1777, касается раскрытого ключа HMAC, используемого для защиты целостности данных. Этот ключ хранится в переменных окружения и раскрывается через API DescribeTrainingJob. Злоумышленники с разрешениями DescribeTrainingJob могут извлечь этот ключ, манипулировать данными и перезаписывать объекты S3. Затронуты определенные сборки в версиях v2 и v3 SDK. Вторая уязвимость, CVE-2026-1778, связана с небезопасной конфигурацией TLS. Эта проблема глобально отключает проверку SSL-сертификатов в Python-бэкенде Triton. Эта конфигурация была введена для обхода ошибок SSL при загрузке моделей из общедоступных источников. Это делает недействительной безопасность HTTPS-соединений при импорте модели Triton Python. Уязвимость также влияет на определенные сборки в версиях v2 и v3 SDK. Эти уязвимости могут быть использованы для нарушения целостности и безопасности обучения и развертывания моделей SageMaker. Пользователям рекомендуется ознакомиться со статьей для получения исчерпывающей информации и шагов по устранению. Необходимо немедленное внимание для устранения этих критических рисков безопасности. В бюллетене подчеркивается важность оперативного обновления до исправленных версий SDK. Устранив эти проблемы, пользователи смогут защитить свои рабочие процессы машинного обучения в AWS.