NVIDIA Releases Security Update for Container Toolkit and GPU Operator
2015/01/16 SecurityOnline — NVIDIA がリリースしたセキュリティ・アップデートは、Container Toolkit と GPU Operator に存在する3つの脆弱性 CVE-2024-0135/CVE-2024-0136/CVE-2024-0137 に対処するためのものだ。これらの脆弱性が悪用されると、悪意のコード実行/特権昇格/サービス拒否攻撃などの可能性が生じる。
CVE-2024-0135 (CVSS 7.6):CWE-653 不適切な隔離または分類の脆弱性
特別に細工されたコンテナ・イメージにより、ホスト・バイナリが変更される可能性が生じる。この脆弱性の悪用に成功した攻撃者は、コード実行/サービス拒否/特権の昇格/情報漏洩/データ改ざんなどの可能性を得る。
CVE-2024-0136 (CVSS 7.6):CWE-653 不適切な隔離または分類の脆弱性
ホスト・デバイスに対する読取/書込みアクセス権の取得を、攻撃者に対して許す可能性が生じる。この脆弱性が悪用されると、コード実行/サービス拒否/特権の昇格/情報漏洩/データ改ざんなどの可能性が生じる。
CVE-2024-0137 (CVSS 5.5):CWE-653 不適切な隔離または分類の脆弱性
この脆弱性の悪用に成功した攻撃者は、ホストのネットワーク・ネームスペースで、信頼されていないコードの実行を達成し、サービス拒否/特権の昇格などを引き起こす可能性を得る。
すでに NVIDIA は、Container Toolkit/GPU Operator のアップデート版をリリースし、これらの脆弱性に対処している。ユーザーに推奨されるのは、ソフトウェアを最新バージョンへと更新することである。詳細は、NVIDIA のドキュメントのインストール・セクション (Container Toolkit/GPU Operator) に記載されている。
NVIDIA のアドバイザリには、脆弱性 CVE-2024-0136/CVE-2024-0137 に対する緩和策も記載されている。同社がユーザーに推奨しているのは、NVIDIA Container Toolkit が、ホストの ldconfig バイナリを使用するように、コンフィグされているかどうかを確認することである。
NVIDIA Container Toolkit/GPU Operator に存在する、3件の脆弱性が FIX しました。また、コンフィグによる緩和策も提供されていますので、ご確認ください。よろしければ、NVIDIA で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.