Boletines de seguridad

Deep Learning VM Images es un conjunto de imágenes de máquina virtual ya preparadas con un framework de aprendizaje profundo que están listos para ejecutarse. Recientemente, se descubrió una vulnerabilidad de escritura fuera de los límites en la función “ReadHuffmanCodes()”, de la biblioteca “libwebp”. Esto puede afectar las imágenes que usan esta biblioteca.

Google Cloud analiza continuamente sus imágenes publicadas de forma pública y actualiza los paquetes para garantizar que se incluyan las distribuciones de parche en las versiones más recientes disponibles para la adopción de los clientes. Se actualizaron las Deep Learning VM Images para garantizar que las imágenes de VM más recientes incluyan las distribuciones con parches. Los clientes que adoptan las imágenes de VM más recientes no están expuestos a esta vulnerabilidad.

¿Qué debo hacer?

Los clientes de Google Cloud que usen imágenes de VMs publicadas deben asegurarse de adoptar las imágenes más recientes y que sus entornos estén actualizados, según el modelo de responsabilidad compartida.

Un atacante podría aprovechar CVE-2023-4863 para ejecutar código arbitrario. Esta vulnerabilidad se identificó en Google Chrome antes de la 116.0.5845.187 y en "libwebp" antes de la 1.3.2, y se incluye en CVE-2023-4863.

TorchServe se usa para alojar modelos de aprendizaje automático de PyTorch para la predicción en línea. Vertex AI proporciona contenedores de entrega de modelos de PyTorch precompilados que dependen de TorchServe. Recientemente, se descubrieron vulnerabilidades en TorchServe que permitirían a un atacante tomar el control de una implementación de TorchServe si su API de administración de modelos está expuesta. Los clientes que tienen modelos de PyTorch implementados en la predicción en línea de Vertex AI no se ven afectados por estas vulnerabilidades, ya que Vertex AI no expone la API de administración de modelos de TorchServe. Los clientes que usan TorchServe fuera de Vertex AI deben tomar precauciones para garantizar que sus implementaciones se configuren de forma segura.

¿Qué debo hacer?

Los clientes de Vertex AI con modelos implementados que usan los contenedores de entrega de PyTorch compilados con anterioridad de Vertex AI no necesitan realizar ninguna acción para abordar las vulnerabilidades, ya que las implementaciones de Vertex AI no exponen el servidor de administración de TorchServe a Internet.

Los clientes que usan los contenedores de PyTorch compilados con anterioridad en otros contextos o que usan una distribución de TorchServe personalizada o de terceros deben hacer lo siguiente:

• Asegurarse de que la API de administración de modelos de TorchServe no esté expuesta a Internet. La API de administración de modelos se puede restringir al acceso local solo si te aseguras de que management_address esté vinculado a 127.0.0.1.
• Usa la configuración allowed_urls para asegurarte de que los modelos se puedan cargar desde las fuentes previstas solamente.
• Actualiza lo antes posible TorchServe a la versión 0.8.2, que incluye mitigaciones para este problema. Como medida preventiva, el 13 de octubre de 2023, Vertex AI lanzará contenedores fijos compilados previamente.

¿Qué vulnerabilidades se abordan?

La API de administración de TorchServe está vinculada a 0.0.0.0 de forma predeterminada en la mayoría de las imágenes de Docker de TorchServe, incluidas las que lanzó Vertex AI, por lo que es accesible para solicitudes externas. La dirección IP predeterminada de la API de administración se cambia a 127.0.0.1 en TorchServe 0.8.2, lo que mitiga este problema.

CVE-2023-43654 y CVE-2022-1471 permiten que un usuario con acceso a la API de administración cargue modelos desde fuentes arbitrarias y ejecute código de forma remota. Las mitigaciones para ambos problemas se incluyen en TorchServe 0.8.2: se quita la ruta de ejecución de código remota y se emite una advertencia si se usa el valor predeterminado de allowed_urls.