Nvidia nesen ir pieņēmusi lēmumu risināt virkni programmatūras ievainojamību, no kurām kopumā ir atklātas 11. No tām trīs ir klasificētas kā būtiskas un tādēļ prasa nekavējoties veikt pasākumus.
Būtiskās kļūdas, ko nosauktas par CVE-2023-31029, CVE-2023-31030 un CVE-2023-31024, ir saņēmušas atzīmi CVSS līmenī 9,3 un 9,0 attiecīgi. Šīs ievainojamības ir specifiski saistītas ar Nvidia pamatlapi vadības kontroleri (BMC) tastatūrā, video un peles (KVM) demonu, ko izmanto viņu sistēmā DGX A100.
Padomē ir teikts, ka šīs kļūdas pakļauj sistēmu iespējamai datu izliešanas uzbrukumam, kas var tikt sākts, izmantojot speciāli izveidotos tīkla paketus, kas tiek veikti bez autentifikācijas. Šo ievainojamību izmantošana var izraisīt dažādas sekas, ieskaitot nejaušas koda izpildi, pakalpojuma noliegumu, informācijas atklāšanu un datu kropļošanu.
Nvidia ir atzinusi arī divas papildu ievainojamības DGX H100 un DGX A100 modeļu KVM servisā, ar nosaukumiem CVE-2023-25529 un CVE-2023-25530. Lai arī šīs kļūdas ir novērtētas nedaudz zemāk ar CVSS līmeni 8,0, tās joprojām rada nozīmīgu draudu. CVE-2023-25529 var noplūst lietotāja sesijas “tokenu”, savukārt CVE-2023-25530 ir ievades validācijas kļūda.
Lai novērstu šo drošības risku, Nvidia mudina lietotājus atjaunināt savas sistēmas ar jaunākajām pieejamajām versijām. Īpaši uzmanību jāpievērš visiem pirms 00.22.05 versijas, kas ir ievainojamas pret BMC kļūdām. Labojumi arī ir sniegti zemāk novērtētām ievainojamībām DGX A100 SBIOS versijās līdz 1.25.
Nvidia, prompti risinot šīs programmatūras ievainojamības un piedāvājot nepieciešamos labojumus, apliecina savu apņemšanos uzturēt sistēmu drošību un integritāti. Lietotāji tiek enerģiski aicināti nekavējoties veikt pasākumus un uzstādīt sniegtos atjauninājumus, lai nodrošinātu ierīču un datu drošību.
The source of the article is from the blog myshopsguide.com