Nvidia je nedavno sprejela odločne ukrepe za naslavljanje serije ranljivosti na firmware, pri čemer je skupno identificiranih 11 ranljivosti. Med njimi sta tri kritični, ki zahtevajo takojšnjo pozornost.
Kritične napake, poimenovane CVE-2023-31029, CVE-2023-31030 in CVE-2023-31024, so prejele oceno CVSS 9.3 oziroma 9.0. Te ranljivosti so posebej povezane z Nvidia-jevim krmilnikom osnovne plošče (BMC) v tipkovnici, videu in miški (KVM) v demonu, ki se uporablja v njihovem sistemu DGX A100.
Varnostno obvestilo navaja, da te napake izpostavljajo sistem potencialnim napadom prek preliva skladov, ki ga lahko začne neavtorizirani napadalec s posebej izdelanim omrežnim paketom. Izkoriščanje teh ranljivosti lahko povzroči različne posledice, vključno z izvajanjem poljubne kode, onemogočanjem storitev, razkritjem informacij in manipulacijo podatkov.
Nvidia je priznala tudi dve dodatni ranljivosti v storitvi KVM za modele DGX H100 in DGX A100, ki imata imena CVE-2023-25529 in CVE-2023-25530. Čeprav za te napake velja nekoliko nižja ocena CVSS 8.0, še vedno predstavljajo pomembno grožnjo. CVE-2023-25529 lahko razkrije uporabnikov žeton seje, medtem ko je CVE-2023-25530 napaka pri preverjanju vhodnih podatkov.
Da bi omilili te varnostne tveganje, Nvidia uporabnike poziva, naj posodobijo svoje sisteme na najnovejše različice, ki so na voljo. Še posebej so ranljive vse različice, starejše od 00.22.05, za napake BMC. Popravki so na voljo tudi za manj ocenjene ranljivosti v različicah DGX A100 SBIOS, starejših od 1.25.
S hitrim naslavljanjem teh ranljivosti na firmware in ponujanjem potrebnih popravkov Nvidia kaže svojo zavezanost za ohranjanje varnosti in celovitosti svojih sistemov. Uporabnike močno spodbujamo, da takoj ukrepajo in namestijo zagotovljene posodobitve, da poskrbijo za varnost svojih naprav in podatkov.
The source of the article is from the blog maestropasta.cz