Bollettini sulla sicurezza

Deep Learning VM Images è un insieme di immagini di macchine virtuali predefinite con un framework di deep learning e pronte all'uso. Di recente, è stata scoperta una vulnerabilità di scrittura fuori dai limiti nella funzione "ReadHuffmanCodes()" della libreria "libwebp". Questa operazione potrebbe influire sulle immagini che utilizzano questa libreria.

Google Cloud scansiona continuamente le immagini pubblicate pubblicamente e aggiorna i pacchetti per garantire che le distribuzioni con patch siano incluse nelle ultime release disponibili per l'adozione da parte del cliente. Le Deep Learning VM Image sono state aggiornate per garantire che le immagini VM più recenti includano le distribuzioni con patch. I clienti che adottano le immagini VM più recenti non sono esposti a questa vulnerabilità.

Che cosa devo fare?

I clienti di Google Cloud che utilizzano immagini VM pubblicate devono assicurarsi di adottare le immagini più recenti e che i loro ambienti siano aggiornati in base al modello di responsabilità condivisa.

CVE-2023-4863 potrebbe essere sfruttato da un utente malintenzionato per eseguire codice arbitrario. Questa vulnerabilità è stata identificata in Google Chrome prima della versione 116.0.5845.187 e in "libwebp" prima della 1.3.2 ed è indicata con il codice CVE-2023-4863.

TorchServe viene utilizzato per ospitare i modelli di machine learning PyTorch per la previsione online. Vertex AI fornisce container predefiniti di gestione dei modelli PyTorch che dipendono da TorchServe. Di recente sono state scoperte in TorchServe delle vulnerabilità che potrebbero consentire a un utente malintenzionato di assumere il controllo di un deployment TorchServe se la relativa API di gestione dei modelli viene esposta. I clienti con modelli PyTorch di cui è stato eseguito il deployment nella previsione online di Vertex AI non sono interessati da queste vulnerabilità, poiché Vertex AI non espone l'API di gestione dei modelli di TorchServe. I clienti che utilizzano TorchServe al di fuori di Vertex AI devono prendere precauzioni per garantire che i loro deployment siano configurati in modo sicuro.

Che cosa devo fare?

I clienti di Vertex AI con modelli di cui è stato eseguito il deployment utilizzando i container di servizio PyTorch predefiniti di Vertex AI non devono intraprendere alcuna azione per risolvere le vulnerabilità, poiché i deployment di Vertex AI non espongono il server di gestione di TorchServe a internet.

I clienti che utilizzano i container PyTorch predefiniti in altri contesti o che usano una distribuzione personalizzata o di terze parti di TorchServe devono seguire questi passaggi:

• Assicurati che l'API di gestione dei modelli di TorchServe non sia esposta a internet. L'API di gestione dei modelli può essere limitata solo all'accesso locale garantendo che management_address sia associato a 127.0.0.1.
• Utilizza l'impostazione allowed_urls per assicurarti che sia possibile caricare i modelli solo dalle origini previste.
• Esegui l'upgrade di TorchServe alla versione 0.8.2, che include la mitigazione del problema, il prima possibile. Come precauzione, Vertex AI rilascerà container predefiniti fissi entro il 13/10/2023.

Quali vulnerabilità vengono affrontate?

L'API di gestione di TorchServe è associata per impostazione predefinita a 0.0.0.0 nella maggior parte delle immagini Docker di TorchServe, incluse quelle rilasciate da Vertex AI, rendendola accessibile alle richieste esterne. L'indirizzo IP predefinito per l'API di gestione viene modificato in 127.0.0.1 in TorchServe 0.8.2, riducendo il problema.

CVE-2023-43654 e CVE-2022-1471 consentono a un utente con accesso all'API di gestione di caricare modelli da origini arbitrarie ed eseguire codice da remoto. Le mitigazioni per entrambi questi problemi sono incluse in TorchServe 0.8.2: il percorso di esecuzione del codice remoto viene rimosso e viene emesso un avviso se viene utilizzato il valore predefinito di allowed_urls.