ShellTorch: a TorchServe sérülékenységei
Az Oligo Security kutatói szerint a TorchServe – a PyTorch gépi tanulási modellek éles skálázására szolgáló nyílt forráskódú eszköz – három biztonsági problémája kiszolgálóátvételhez és távoli kódvégrehajtáshoz (RCE) vezethet.
A három CVE, amelyek együttes elnevezése ShellTorch, az eszközök tízezreit tette sebezhetővé – írta az Oligo Security. A Meta, amely az Amazonnal együtt kezeli a nyílt forráskódú TorchServe projektet, lekicsinyelte a hibákat, és azt mondta, hogy azokat javították. A TorchServe – a PyTorch opcionális eszköze – problémáit augusztusban javították ki, így az ebben a blogbejegyzésben leírt kihasználási lánc vita tárgyát képezte – jelezte a Meta szóvivője. Arra bátorítjuk a fejlesztőket, hogy a TorchServe legújabb verzióját használják.
Az érintett szervezetek frissítéseket tettek közzé:
- Október 3.: A Google biztonsági tájékoztatót adott ki a felhasználóknak a ShellTorch kapcsán.
- Október 2.: Az Amazon biztonsági tájékoztatót adott ki a felhasználóknak a ShellTorch kapcsán.
- Október 2.: A Meta kijavította az alapértelmezett felügyeleti API-t, hogy enyhítse a felügyeleti API hibás konfigurációját.
- Szeptember 12.: Az Amazon frissítette DLC-jét, és világszerte bevezette a változtatásokat.