Resumen
Amazon SageMaker Python SDK es una biblioteca de código abierto para entrenar e implementar modelos de aprendizaje automático en Amazon SageMaker. Existe un problema donde, bajo ciertas circunstancias, el handler de inferencia Triton deserializa artefactos de modelo sin realizar verificación de integridad, permitiendo que payloads pickle especialmente diseñados ejecuten código arbitrario.
Impacto
Cuando se utiliza ModelBuilder con el servidor de inferencia Triton, el handler Triton no realizaba verificación de integridad antes de deserializar artefactos de modelo. Un actor remoto autenticado con acceso de escritura S3 a la ruta del artefacto del modelo podría reemplazar archivos de modelo con un payload diseñado que se ejecutaría automáticamente en el siguiente evento del ciclo de vida del contenedor, logrando ejecución de código con los permisos IAM del rol de ejecución de SageMaker.
Versiones afectadas: >= v2.199.0 Y <= v2.257.1, >= v3.0.0 Y <= v3.7.1
Parches
Este problema ha sido abordado en Amazon SageMaker Python SDK v2.257.2 y v3.8.0. El handler de inferencia Triton ahora realiza verificación de integridad antes de deserializar artefactos de modelo. AWS recomienda actualizar a la versión más reciente y reconstruir cualquier modelo Triton previamente creado con ModelBuilder usando el SDK actualizado. Asegúrese de que cualquier código bifurcado o derivado sea parcheado para incorporar las nuevas correcciones.
Soluciones temporales
Si la actualización no es posible inmediatamente, los usuarios deben restringir el acceso de escritura S3 a las rutas de artefactos de modelo solo a principales confiables y monitorear modificaciones no intencionadas a archivos en ubicaciones S3 de artefactos de modelo.
Referencias
Si hay preguntas o comentarios sobre este aviso, contacte a AWS Security a través de la página de reporte de vulnerabilidades o directamente por correo electrónico a aws-security@amazon.com. Por favor no cree un issue público en GitHub.