NVIDIA Addresses Security Vulnerabilities in NVIDIA Riva with Software Update
2025/03/12 SecurityOnline — NVIDIA が公表したのは、NVIDIA Riva に存在するセキュリティ脆弱性に対処するための、ソフトウェア・アップデートのリリースである。このセキュリティ・アップデートで対処されたのは、権限昇格/データ改竄/サービス拒否/情報漏洩などにつながる可能性がある脆弱性である。
NVIDIA Riva とは、完全にカスタマイズ可能なリアルタイム会話型 AI パイプラインを構築するための、GPU アクセラレーションによる、多言語音声/翻訳マイクロ・サービスのセットであるという。
その機能としては、ASR (automatic speech recognition)/TTS (text-to-speech)/NMT (neural machine translation などが組み込まれており、クラウド/データセンター/エッジ/組み込みデバイスなどの、さまざまな環境に展開できるという。
Riva を活用する組織は、音声/翻訳の機能を LLM/RAG (retrieval-augmented generation) と統合して、従来からのチャットボットを、多言語アシスタントやアバターへと転換できる。
今回のセキュリティ・アップデートは、不適切なアクセス制御の問題の解決に、重点を置いているという。修正された脆弱性と、その潜在的な影響の詳細は、以下のとおりである。
CVE-2025-23242 (CVSS:7.3:High):NVIDIA Riva に存在する脆弱性により、不適切なアクセス制御の問題を、ユーザーが引き起こす可能性があるとされる。この脆弱性の悪用に成功した攻撃者は、権限昇格/データ改竄/サービス拒否/情報漏洩などを引き起こす機会を手にする。
CVE-2025-23243 (CVSS:6.5:High):NVIDIA Riva に存在する脆弱性により、不適切なアクセス制御の問題を、ユーザーが引き起こす可能性があるとされる。この脆弱性の悪用に成功した攻撃者は、データ改竄/サービス拒否などを引き起こす機会を手にする。
影響を受ける製品/影響を受けるバージョン/更新バージョンは以下のとおりである:
| CVE IDs Addressed | Affected Products | Platform or OS | Affected Versions | Updated Version |
|---|---|---|---|---|
| CVE-2025-23242 CVE-2025-23243 | NVIDIA Riva | Linux | 2.18.0 以下のすべてのバージョン | 2.19.0 |
NVIDIA Riva の、従来からのソフトウェア・バージョンで、発生し得る影響を示すメモも発行されている。それらの、古いリリースを使用しているユーザーに対して、強く推奨されるのは、最新バージョンへの速やかなアップグレードである。
これらの問題を報告してくれた、Trend Micro の Nebula の David Fiser と Alfredo Oliveira に対して、NVIDIA は謝意を示している。
このブログでは初登場の NVIDIA Riva ですが、クラウド/データセンター/エッジ/組み込みデバイスなどの環境に展開できるソフトウェアであり、ご利用のチームも多いことだと思います。アップデートを忘れないよう、お気をつけください。よろしければ、NVIDIA で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.