One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8389278 |
| Date de publication | 2023-09-28 23:15:09 (vue: 2023-09-29 01:07:01) |
| Titre | CVE-2023-43654 |
| Texte | Torchserve est un outil pour servir et mettre à l'échelle des modèles Pytorch en production.La configuration par défaut de TorchServe manque de validation d'entrée appropriée, permettant aux tiers d'invoquer des demandes de téléchargement HTTP distantes et d'écrire des fichiers sur le disque.Ce problème pourrait être profité de compromettre l'intégrité du système et des données sensibles.Ce problème est présent dans les versions 0,1.0 à 0,8.1.Un utilisateur est capable de charger le modèle de son choix à partir de toute URL qu'il souhaite utiliser.L'utilisateur de TorchServe est responsable de la configuration à la fois des ALLOTAGE_URLS et de la spécification de l'URL du modèle à utiliser.Une demande de traction pour avertir l'utilisateur lorsque la valeur par défaut pour ALLOD_URLS est utilisée a été fusionnée dans PR # 2534.Torchserve Release 0.8.2 comprend ce changement.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a aucune solution de contournement connue pour ce problème.
TorchServe is a tool for serving and scaling PyTorch models in production. TorchServe default configuration lacks proper input validation, enabling third parties to invoke remote HTTP download requests and write files to the disk. This issue could be taken advantage of to compromise the integrity of the system and sensitive data. This issue is present in versions 0.1.0 to 0.8.1. A user is able to load the model of their choice from any URL that they would like to use. The user of TorchServe is responsible for configuring both the allowed_urls and specifying the model URL to be used. A pull request to warn the user when the default value for allowed_urls is used has been merged in PR #2534. TorchServe release 0.8.2 includes this change. Users are advised to upgrade. There are no known workarounds for this issue. |
| Envoyé | Oui |
| Condensat | #2534 2023 43654 able advantage advised allowed any are been both change choice compromise configuration configuring could cve data default disk download enabling files from has http includes input integrity invoke issue known lacks like load merged model models parties present production proper pull pytorch release remote request requests responsible scaling sensitive serving specifying system taken third tool torchserve upgrade url urls use used user users validation value versions warn when workarounds would write |
| Tags | Tool |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.