NVIDIA Base Command Manager Update Patches CVE-2024-0138 (CVSS 9.8)
2024/11/21 SecurityOnline — NVIDIA が公表したのは Base Command Manager ソフトウェアに対する、重要なセキュリティ・アップデートのリリースに関する情報である。その CMDaemon コンポーネントに存在する、脆弱性 CVE-2024-0138 (CVSS:9.8) の悪用に成功した攻撃者により、コード実行/権限昇格/データ改竄などが引き起こされる可能性がある。
NVIDIA のセキュリティ情報には、「この脆弱性の悪用に成功すると、コード実行/サービス拒否/権限昇格/情報漏洩/データ改竄などにつながる可能性がある。この重大度の高い脆弱性は、NVIDIA Base Command Manager バージョン 10.24.09 に影響を及ぼす」と記されている。
すでに NVIDIA は、パッチを適用したバージョン 10.24.09a をリリースし、このリスクを軽減している。すべてのユーザーに対して同社は、速やかな更新を強く勧めている。このアップデートは、BCM パッケージ・リポジトリから入手できる。
NVIDIA は、アップデートの実施に関する明確な指示を提供している。
- ヘッド・ノードおよび全ソフトウェア・イメージにおいて、CMdaemon を最新バージョンへとアップデートする。
- ノードの再起動もしくは、ソフトウェア・イメージの再同期によりアップデートを行う。
幸いなことに、Base Command Manager 10.24.07 以前のバージョンには、この脆弱性が存在していないことを、NVIDIA は確認している。ただし、バージョン 10.24.09 のユーザーにおいては、アップデートを速やかに適用し、システムを確実に保護する必要がある。
この脆弱性の悪用に成功した攻撃者は、組織のシステムに深くアクセスする可能性を得るため、このパッチのタイムリーな適用が重要となる。NVIDIA Base Command Manager を使用している組織は、そのシステムの更新を優先し、悪用のリスクから保護する必要がある。
NVIDIA – Base Command Manager の脆弱性が FIX しました。文中には、ローカル/リモートの記載がないので、NVD を調べてみたところ、[Attack Vector:Netword] と記載されていました。この製品ですが、NVIDIA の Webサイトには、「NVIDIA Base Command は、AI インフラで AI のトレーニングと運用を管理するソフトウェアである。複数のユーザーと複数のチームによる、大規模な AI 開発ワークフローのための NVIDIA Base Command Platform と、 NVIDIA DGX SuperPOD でクラスターを管理する、NVIDIA Base Command Manager から構成される Base Command は、AI ワークフローへ向けて、NVIDIA のイノベーションをダイレクトに提供することで、AI の ROI を加速する」と記されていました。よろしければ、NVIDIA で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.