NVIDIA Triton Inference Server远程代码执行漏洞安全风险通告

Triton Inference Server是NVIDIA发布的一款开源软件，是NVIDIA AI平台的重要组成部分，该服务器可以标准化各种工作负载的AI模型的部署和执行，为用户提供快速、可扩展的AI服务。作为全球主流的AI推理服务器，Triton被全球众多人工智能厂商广泛使用。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

经研判，该漏洞为高危漏洞，该漏洞PoC/EXP已公开。由于日志文件配置接口/v2/logging接受log_file参数，允许设置要写入的日志文件的绝对路径，有权访问该接口的攻击者可利用该参数执行任意文件写入，成功利用该漏洞可能导致远程代码执行、拒绝服务、权限提升、信息泄露和数据篡改等。

NVIDIA Triton Inference Server（Linux平台）：22.09 - 24.03

目前该漏洞已经修复，受影响用户可升级到NVIDIA Triton Inference Server for Linux 24.04或更高版本。

下载链接：

https://developer.nvidia.com/triton-inference-server

参考链接：

https://nvidia.custhelp.com/app/answers/detail/a_id/5535

https://nvd.nist.gov/vuln/detail/CVE-2024-0087

https://sites.google.com/site/zhiniangpeng/blogs/Triton-RCE