Update: Kritische Sicherheitslücken in PyTorch

Die Warnmeldung wurde am 12. Juni 2024 aufgrund weiterführender Informationen aktualisiert. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am Montag, 10. Juni 2024, eine Schwachstellenmeldung zur kritischen Sicherheitslücke CVE-2024-5480 in PyTorch. Die Schwachstelle in der Programmbibliothek für Maschinelles Lernen ermöglicht Angreifenden Remote Procedure Calls (RPC) mit angeschlossener Command Injection. 

CVE-2024-5480 ist mit dem höchsten CVSS-Score von 10 eingestuft. Zur Sicherheitslücke existiert bereits ein Proof of Concept (PoC). Nutzenden rät die CSBW zu äußerster Vorsicht. Zudem sollten sie regelmäßig prüfen, ob Bugfixes oder Updates zu CVE-2024-5480 veröffentlicht werden. Bisher existieren noch keine Fixes.

Am 11. Juni 2024 publizierte das BSI eine Schwachstellenmeldung zu einer weiteren Sicherheitslücke CVE-2024-5452. Die Schwachstelle ermöglicht Angreifenden Remote Code Execution (RCE). Auch zu CVE-2024-5452 sind keine Updates bekannt.