Четкое хранение конфиденциальной информации в компоненте ModelBuilder/Serve в Amazon SageMaker Python SDK до v2.257.2,2 и v3 до v3.8.0 може…
Четкое хранение конфиденциальной информации в компоненте ModelBuilder/Serve в Amazon SageMaker Python SDK до v2.257.2,2 и v3 до v3.8.0 может позволить удаленному аутентифицированному игроку извлечь ключ подписи HMAC из ответов SageMaker API и подделать действительные сигнатуры целостности для специально созданных артефактов модели, достигая выполнения кода в контейнерах вывода. Эта проблема требует удаленного аутентифицированного актера с разрешениями на вызов SageMaker, описывающих API и S3 записи доступа к пути артефакта модели. Чтобы исправить эту проблему, мы рекомендуем обновиться до Amazon SageMaker Python SDK v2.257.2,2 или v3.8.0 и перестроить любые модели, ранее созданные с помощью ModelBuilder, с помощью обновленного SDK.
Продукт хранит конфиденциальную информацию в открытом виде в ресурсе, который может быть доступен другой сфере управления.
https://cwe.mitre.org/data/definitions/312.html →Открыть в коллекции CWE →Злоумышленник исследует целевую систему для поиска конфиденциальных данных, встроенных в неё. Эта информация может раскрывать конфиденциальные сведения, такие как номера счетов или отдельные ключи/учётные данные, которые могут использоваться в качестве промежуточного шага в более масштабной атаке.
https://capec.mitre.org/data/definitions/37.html →Открыть в коллекции CAPEC →