Boletines de seguridad

Deep Learning VM Images es un conjunto de imágenes de máquina virtual ya preparadas con un framework de aprendizaje profundo que están listos para ejecutarse. Recientemente, se descubrió una vulnerabilidad de escritura fuera de los límites en la función “ReadHuffmanCodes()” de la biblioteca “libwebp”. Es posible que se afecten las imágenes que usan esta biblioteca.

Google Cloud analiza continuamente sus imágenes publicadas de forma pública y actualiza los paquetes para garantizar que se incluyan las distribuciones de parche en las versiones más recientes disponibles para la adopción de los clientes. Se actualizaron las Deep Learning VM Images para garantizar que las imágenes de VM más recientes incluyan las distribuciones con parches. Los clientes que adoptan las imágenes de VM más recientes no están expuestos a esta vulnerabilidad.

¿Qué debo hacer?

Los clientes de Google Cloud que usen imágenes de VMs publicadas deben asegurarse de adoptar las imágenes más recientes y que sus entornos estén actualizados, según el modelo de responsabilidad compartida.

CVE-2023-4863 puede ser aprovechado por un atacante para ejecutar código arbitrario. Esta vulnerabilidad se identificó en Google Chrome antes de 116.0.5845.187 y en “libwebp” antes de la versión 1.3.2 y se enumera en CVE-2023-4863.

TorchServe se usa para alojar modelos de aprendizaje automático de PyTorch para la predicción en línea. Vertex AI proporciona contenedores precompilados de entrega de modelos de PyTorch que dependen de TorchServe. Hace poco tiempo, se descubrieron vulnerabilidades en TorchServe que permitirían a un atacante tomar el control de una implementación de TorchServe si se expone su API de administración de modelos. Los clientes con modelos de PyTorch implementados en la predicción en línea de Vertex AI no se ven afectados por estas vulnerabilidades, ya que Vertex AI no expone la API de administración de modelos de TorchServe. Los clientes que usan TorchServe fuera de Vertex AI deben tomar precauciones para garantizar que sus implementaciones estén configuradas de forma segura.

¿Qué debo hacer?

Los clientes de Vertex AI con modelos implementados que usan contenedores precompilados de entrega de PyTorch de Vertex AI no necesitan realizar ninguna acción para abordar las vulnerabilidades, ya que las implementaciones de Vertex AI no exponen el servidor de administración de TorchServe a Internet.

Los clientes que usan los contenedores de PyTorch compilados con anterioridad en otros contextos o que usan una distribución personalizada o de terceros de TorchServe deben hacer lo siguiente:

• Asegúrate de que la API de Management de modelos de TorchServe no esté expuesta a Internet. La API de administración de modelos se puede restringir al acceso local solo si se asegura de que management_address esté vinculado a 127.0.0.1.
• Usa la configuración allowed_urls para asegurarte de que los modelos se puedan cargar desde las fuentes previstas solamente.
• Actualiza lo antes posible TorchServe a la versión 0.8.2, que incluye mitigaciones para este problema. Como medida preventiva, el 13 de octubre de 2023, Vertex AI lanzará contenedores fijos compilados previamente.

¿Qué vulnerabilidades se abordan?

La API de administración de TorchServe está vinculada a 0.0.0.0 de forma predeterminada en la mayoría de las imágenes de Docker de TorchServe, incluidas las que lanza Vertex AI, por lo que es accesible para solicitudes externas. La dirección IP predeterminada para la API de administración se cambió a 127.0.0.1 en TorchServe 0.8.2, lo que mitiga este problema.

CVE-2023-43654 y CVE-2022-1471 permiten que un usuario con acceso a la API de Management cargue los modelos de fuentes arbitrarias y ejecute código de forma remota. Las mitigaciones para ambos problemas se incluyen en TorchServe 0.8.2: se quita la ruta de ejecución del código remoto y se emite una advertencia si se usa el valor predeterminado para allowed_urls.