Sicherheitsbulletins

Deep Learning VM Images ist ein Satz von vorgefertigten und sofort einsatzbereiten VM-Images mit einem Deep Learning Framework. Vor Kurzem wurde in der Funktion „ReadHuffmanCodes()“ der Bibliothek „libwebp“ eine Sicherheitslücke beim Schreiben außerhalb des Bereichs entdeckt. Dies kann sich auf Images auswirken, die diese Bibliothek verwenden.

Google Cloud scannt seine öffentlich veröffentlichten Images kontinuierlich und aktualisiert die Pakete, damit gepatchte Distributionen in den neuesten Releases enthalten sind, die für die Kundenakzeptanz verfügbar sind. Deep Learning VM Images wurden aktualisiert, damit die neuesten VM-Images die gepatchten Distributionen enthalten. Kunden, die die neuesten VM-Images verwenden, sind von dieser Sicherheitslücke nicht betroffen.

Was soll ich tun?

Google Cloud-Kunden, die veröffentlichte VM-Images verwenden, sollten darauf achten, dass sie die neuesten Images verwenden und ihre Umgebungen gemäß dem Modell der geteilten Verantwortung auf dem neuesten Stand haben.

CVE-2023-4863 könnte von einem Angreifer ausgenutzt werden, um beliebigen Code auszuführen. Diese Sicherheitslücke wurde in Google Chrome vor 116.0.5845.187 und in "libwebp" vor 1.3.2 gefunden und ist unter CVE-2023-4863 aufgeführt.

TorchServe wird zum Hosten von ML-Modellen von PyTorch für Onlinevorhersagen verwendet. Vertex AI bietet vordefinierte PyTorch-Modellbereitstellungscontainer, die von TorchServe abhängig sind. In TorchServe wurden kürzlich Sicherheitslücken entdeckt, über die Angreifer die Kontrolle über eine TorchServe-Bereitstellung übernehmen können, wenn deren Modellverwaltungs-API offengelegt wird. Kunden mit PyTorch-Modellen, die für Vertex AI-Onlinevorhersagen bereitgestellt werden, sind von diesen Sicherheitslücken nicht betroffen, da Vertex AI die Modellverwaltungs-API von TorchServe nicht verfügbar macht. Kunden, die TorchServe außerhalb von Vertex AI verwenden, sollten Vorkehrungen treffen, um sicherzustellen, dass ihre Bereitstellungen sicher eingerichtet sind.

Was soll ich tun?

Vertex AI-Kunden mit bereitgestellten Modellen, die die vordefinierten PyTorch-Bereitstellungscontainer von Vertex AI verwenden, müssen keine Maßnahmen ergreifen, um die Sicherheitslücken zu beheben, da der Verwaltungsserver von Vertex AI nicht den Verwaltungsserver von TorchServe für das Internet zugänglich macht.

Kunden, die die vordefinierten PyTorch-Container in anderen Kontexten verwenden oder eine benutzerdefinierte oder eine Drittanbieter-Distribution von TorchServe verwenden, sollten Folgendes tun:

• Achten Sie darauf, dass die Modellverwaltungs-API von TorchServe nicht über das Internet zugänglich ist. Die Modellverwaltungs-API kann auf lokalen Zugriff beschränkt werden, indem sichergestellt wird, dass management_address an 127.0.0.1 gebunden ist.
• Verwenden Sie die Einstellung allowed_urls, um sicherzustellen, dass Modelle nur aus beabsichtigten Quellen geladen werden können.
• Aktualisieren Sie TorchServe so bald wie möglich auf Version 0.8.2, mit der dieses Problem behoben werden kann. Als Vorsichtsmaßnahme veröffentlicht Vertex AI ab dem 13.10.2023 feste Container.

Welche Sicherheitslücken werden behoben?

Die Management API von TorchServe ist in den meisten Docker-Images von TorchServe standardmäßig an 0.0.0.0 gebunden. Dies gilt auch für Bilder, die von Vertex AI veröffentlicht wurden. Dadurch wird sie für externe Anfragen zugänglich. Die Standard-IP-Adresse für die Verwaltungs-API wurde in TorchServe 0.8.2 zu 127.0.0.1 geändert, um dieses Problem zu beheben.

Mit CVE-2023-43654 und CVE-2022-1471 kann ein Nutzer mit Zugriff auf die Management API Modelle aus beliebigen Quellen laden und Code remote ausführen. Risikominderungen für beide Probleme sind in TorchServe 0.8.2 enthalten: Der Pfad für die Ausführung von Remote-Code wird entfernt und es wird eine Warnung ausgegeben, wenn allowed_urls als Standardwert verwendet wird.