SK-CERT Bezpečnostné varovanie V20240115-04
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP:CLEAR |
CVSS Skóre |
9.3 |
Identifikátor |
NVIDIA DGX H100 a A100 – tri kritické bezpečnostné zraniteľnosti |
Popis |
Spoločnosť NVIDIA vydala bezpečnostné aktualizácie na produkty DGX H100 a A100, ktoré opravujú viacero bezpečnostných zraniteľností,z ktorých tri sú označené ako kritické. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov v rámci KVM daemona a umožňuje lokálnemu, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne upravených paketov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
Dátum prvého zverejnenia varovania |
12.01.2024 |
CVE |
CVE-2023-25529, CVE-2023-25530, CVE-2023-31024, CVE-2023-31025, CVE-2023-31029, CVE-2023-31030, CVE-2023-31031, CVE-2023-31032, CVE-2023-31033, CVE-2023-31034, CVE-2023-31035 |
IOC |
– |
Zasiahnuté systémy |
DGX A100 vo verzii SBIOS staršej ako 23.08.18 DGX H100 vo verzii BMC staršej ako 00.22.05 |
Následky |
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému Eskalácia privilégií Neoprávnený prístup k citlivým údajom |
Odporúčania |
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Bezpečnostná záplata je obsiahnutá v aktualizácii UEFI BIOS, preto používateľom odporúčame nainštalovať aktualizácie systému UEFI BIOS z webových stránok výrobcu pre ich konkrétne elektronické zariadenie. V prípade, že prevádzkujete fyzické servery s operačným systémom Linux, uistite sa, že máte nainštalovaný balík intel-microcode. Na BSD systémoch môžete použiť balík cpupdate. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
Zdroje |
https://nvidia.custhelp.com/app/answers/detail/a_id/5510 |
« Späť na zoznam