SK-CERT Bezpečnostné varovanie V20240115-04

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.3

Identifikátor

NVIDIA DGX H100 a A100 – tri kritické bezpečnostné zraniteľnosti

Popis

Spoločnosť NVIDIA vydala bezpečnostné aktualizácie na produkty DGX H100 a A100, ktoré opravujú viacero bezpečnostných zraniteľností,z ktorých tri sú označené ako kritické. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov v rámci KVM daemona a umožňuje lokálnemu, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne upravených paketov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

12.01.2024

CVE

CVE-2023-25529, CVE-2023-25530, CVE-2023-31024, CVE-2023-31025, CVE-2023-31029, CVE-2023-31030, CVE-2023-31031, CVE-2023-31032, CVE-2023-31033, CVE-2023-31034, CVE-2023-31035

IOC

–

Zasiahnuté systémy

DGX A100 vo verzii SBIOS staršej ako 23.08.18 DGX H100 vo verzii BMC staršej ako 00.22.05

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému Eskalácia privilégií Neoprávnený prístup k citlivým údajom

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Bezpečnostná záplata je obsiahnutá v aktualizácii UEFI BIOS, preto používateľom odporúčame nainštalovať aktualizácie systému UEFI BIOS z webových stránok výrobcu pre ich konkrétne elektronické zariadenie. V prípade, že prevádzkujete fyzické servery s operačným systémom Linux, uistite sa, že máte nainštalovaný balík intel-microcode. Na BSD systémoch môžete použiť balík cpupdate. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://nvidia.custhelp.com/app/answers/detail/a_id/5510

« Späť na zoznam