NVIDIA Container Toolkit 执行代码攻击漏洞

admin 2025年2月17日13:16:05评论26 views字数 1251阅读4分10秒阅读模式

NVIDIA Container Toolkit 执行代码攻击漏洞点击上方蓝字关注我们吧~英伟达(NVIDIA)发布了一项安全更新,以解决其NVIDIA容器工具包和NVIDIA GPU操作符中的一个关键漏洞,该漏洞可能允许攻击者执行任意代码,提升权限,并获得对主机文件系统的访问权限。

该漏洞被跟踪为cve - 2035 -23359,被归类为TOCTOU (Time-of-Check - Time-of-Use)漏洞,CVSS v3.1的基本分数为8.3(高)。

NVIDIA容器工具包漏洞

该漏洞存在于NVIDIA Container Toolkit for Linux的默认配置中。

它允许恶意构建的容器映像利用竞争条件,获得对主机文件系统的未经授权访问。成功的漏洞攻击可能导致:

  • 攻击者可以在主机上运行任意命令。

  • 未授权的用户可以获得提升的权限。

  • 系统运行中断。

  • 暴露敏感数据。

  • 未经授权的文件修改。

此问题影响所有版本的NVIDIA Container Toolkit(包括版本1.17.3)和NVIDIA GPU Operator(包括版本24.9.1)。

NVIDIA赞扬来自Wiz Research的Andres Riancho、Ronen Shustin、Shir Tamari和Lei Wang发现了这个漏洞。

缓解和更新

NVIDIA强烈建议用户更新到以下补丁版本:

NVIDIA Container Toolkit 执行代码攻击漏洞

这些更新更改了NVIDIA Container Toolkit的默认行为,默认情况下不再从/usr/local/cuda/compat将CUDA兼容库挂载到容器中。

需要此功能的用户可以选择启用/etc vidia-container-runtime/config.toml配置文件中的allow-cuda-compat- libraries -from-container特性标志:

(特性)

但启用此功能会重新引入漏洞风险,不推荐使用。

对于NVIDIA GPU运营商用户,可以在安装Helm期间设置此标志:

NVIDIA Container Toolkit 执行代码攻击漏洞

另外,需要CUDA前向兼容性的应用程序可以将LD_LIBRARY_PATH环境变量设置为包括/usr/local/cuda/compat,尽管这可能导致跨驱动程序版本的可移植性问题。

缓解措施

该漏洞突出了与容器化环境相关的风险,特别是对于在云中使用gpu或本地系统的AI工作负载。

Wiz Research的研究人员指出,CVE-2025-23359绕过了较早的CVE-2024-0132漏洞,该漏洞于2024年9月被修复,但仍然存在一些安全漏洞。

攻击者可以利用这个漏洞进行供应链攻击或破坏共享的GPU资源。

建议用户立即更新受影响的软件,使用校验和验证验证容器映像,并避免启用已弃用的功能,除非绝对必要。

免责声明

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!

NVIDIA Container Toolkit 执行代码攻击漏洞

原文始发于微信公众号(网安百色):NVIDIA Container Toolkit 执行代码攻击漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月17日13:16:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   NVIDIA Container Toolkit 执行代码攻击漏洞https://cn-sec.com/archives/3748110.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息