Sicherheitsbulletins

Deep Learning VM Images ist ein Satz vorgefertigter und sofort einsatzbereiter VM-Images mit einem Deep Learning Framework. Vor Kurzem wurde in der Funktion „ReadHuffmanCodes()“ der Bibliothek „libwebp“ eine Sicherheitslücke beim Schreiben außerhalb des zulässigen Bereichs entdeckt. Dies kann sich auf Images auswirken, die diese Bibliothek verwenden.

Google Cloud überprüft fortlaufend seine veröffentlichten Images und aktualisiert die Pakete, damit die neuesten Releases mit allen gepatchten Distributionen für die Kunden verfügbar sind. Deep Learning VM Images wurden aktualisiert, damit die neuesten VM-Images die gepatchten Distributionen enthalten. Kunden, die die neuesten VM-Images verwenden, sind von dieser Sicherheitslücke nicht betroffen.

Was soll ich tun?

Google Cloud Kunden, die veröffentlichte VM-Images nutzen, sollten darauf achten, immer die neuesten Images einzusetzen und ihre Umgebungen im Einklang mit dem Modell der geteilten Verantwortung aktuell zu halten.

CVE-2023-4863 könnte von einem Angreifer ausgenutzt werden, um beliebigen Code auszuführen. Diese Sicherheitslücke wurde in Google Chrome vor 116.0.5845.187 und in „libwebp“ vor 1.3.2 gefunden und ist unter CVE-2023-4863 aufgeführt.

TorchServe wird verwendet, um PyTorch-Machine-Learning-Modelle für Onlinevorhersagen zu hosten. Vertex AI bietet vorkonfigurierte PyTorch-Modellbereitstellungs-Container, die auf TorchServe basieren. In TorchServe wurden kürzlich Sicherheitslücken erkannt, die es einem Angreifer ermöglichen würden, die Kontrolle über eine Bereitstellung von TorchServe zu übernehmen, wenn seine Modellverwaltungs-API offengelegt wird. Kunden mit PyTorch-Modellen, die für die Vertex AI-Onlinevorhersage bereitgestellt werden, sind von diesen Sicherheitslücken nicht betroffen, da Vertex AI die Modellverwaltungs-API von TorchServe nicht freigibt. Kunden, die TorchServe außerhalb von Vertex AI verwenden, sollten Vorkehrungen treffen, um ihre Bereitstellungen sicher einzurichten.

Was soll ich tun?

Vertex AI-Kunden mit bereitgestellten Modellen, die die vorkonfigurierten PyTorch-Modell-Serving-Container von Vertex AI verwenden, müssen keine Maßnahmen ergreifen, um die Sicherheitslücken zu schließen, da der Verwaltungsserver von TorchServe bei Vertex AI-Bereitstellungen nicht dem Internet ausgesetzt ist.

Kunden, die die vorkonfigurierten PyTorch-Container in anderen Kontexten verwenden oder eine benutzerdefinierte oder Drittanbieter-Distribution von TorchServe verwenden, sollten Folgendes tun:

• Achten Sie darauf, dass die Modellverwaltungs-API von TorchServe nicht dem Internet zugänglich ist. Die Modellverwaltungs-API kann auf den lokalen Zugriff beschränkt werden, indem management_address an 127.0.0.1 gebunden wird.
• Verwenden Sie die Einstellung allowed_urls, damit Modelle nur aus vorgesehenen Quellen geladen werden können.
• Führen Sie so bald wie möglich ein Upgrade von TorchServe auf Version 0.8.2 durch. Darin wird dieses Problem behoben. Als Vorsichtsmaßnahme wird Vertex AI bis zum 13.10.2023 feste vordefinierte Container veröffentlichen.

Welche Sicherheitslücken werden behoben?

Die Verwaltungs-API von TorchServe ist in den meisten TorchServe-Docker-Images standardmäßig an 0.0.0.0 gebunden, einschließlich der von Vertex AI veröffentlichten. Dadurch ist sie für externe Anfragen zugänglich. Die Standard-IP-Adresse für die Verwaltungs-API wird in TorchServe 0.8.2 in 127.0.0.1 geändert, um dieses Problem zu beheben.

Durch CVE-2023-43654 und CVE-2022-1471 können Nutzer mit Zugriff auf die Verwaltungs-API Modelle aus beliebigen Quellen laden und Code aus der Ferne ausführen. In TorchServe 0.8.2 sind Abhilfemaßnahmen für diese beiden Probleme enthalten: Der Remote-Codeausführungspfad wird entfernt und eine Warnung wird ausgegeben, wenn der Standardwert für allowed_urls verwendet wird.