PyTorch v2.2.2 이하의 torch.distributed.rpc 보안 취약점 이슈 및 업데이트 권고 (CVE-2024-5480)
내용
분산 학습을 위한 PyTorch 내부의 torch.distributed.rpc 모듈 내 보안 이슈가 발견되었습니다. 해당 기능을 직접 또는 프레임워크를 통해 사용하시는 분들께서는 확인 및 업데이트를 해주셔야 합니다.
PyTorch v2.2.2 이전 버전의 torch.distributed.rpc에서는 원격 코드 실행(RCE) 취약점이 발견되어, 공격자가 임의의 코드를 실행할 수 있습니다. 분산 학습 코드를 안전하게 유지하기 위해 PyTorch 버전을 2.3 이상으로 업데이트해야 합니다.
이 보안 이슈는 RPC 호출 중 함수의 검증 수행 과정의 부족으로 일어났으며, Multi-CPU 환경 등에서 rpc.rpc_sync 함수 등을 통해 직렬화(serialize)된 PythonUDF를 마스터 노드에서 역직렬화(deserialize)하고 실행하는 과정에서 임의의 함수 호출이 가능합니다.
더 읽어보기
https://nvd.nist.gov/vuln/detail/CVE-2024-5480
이 글은 GPT 모델로 정리한 글을 바탕으로 한 것으로, 원문의 내용 또는 의도와 다르게 정리된 내용이 있을 수 있습니다. 관심있는 내용이시라면 원문도 함께 참고해주세요! 읽으시면서 어색하거나 잘못된 내용을 발견하시면 덧글로 알려주시기를 부탁드립니다. 
파이토치 한국 사용자 모임
이 정리한 이 글이 유용하셨나요? 회원으로 가입하시면 주요 글들을 이메일
로 보내드립니다! (기본은 Weekly지만 Daily로 변경도 가능합니다.)
아래
쪽에 좋아요
를 눌러주시면 새로운 소식들을 정리하고 공유하는데 힘이 됩니다~ 
