Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-07816

Опубликовано: 25 сент. 2024
Источник: fstec
CVSS3: 9
CVSS2: 9
EPSS Низкий

Описание

Уязвимость программного обеспечения для создания и запуска контейнеров NVIDIA Container Toolkit и программного средства для управления ресурсами NVIDIA GPU Operator связана с разыменованием нулевого указателя из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии или выполнить произвольный код на базовом хосте путём использования специально сформированного образа контейнера

Вендор

ООО «Ред Софт»
NVIDIA Corp.

Наименование ПО

РЕД ОС
NVIDIA Container Toolkit
NVIDIA GPU Operator

Версия ПО

7.3 (РЕД ОС)
до 1.16.2 (NVIDIA Container Toolkit)
до 24.6.2 (NVIDIA GPU Operator)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux -
ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование образов контейнеров, полученных только из доверенных источников;
- использование интерфейса Container Device Interface (CDI) для предотвращения попыток эксплуатации уязвимости.
Использование рекомендаций:
https://nvidia.custhelp.com/app/answers/detail/a_id/5582
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-nvidia-container-toolkit-28102028/?sphrase_id=1334719

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 86%
0.02917
Низкий

9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20251028-11

CVSS3: 8.5
redos
20 дней назад

Множественные уязвимости nvidia-container-toolkit

redos логотип

ROS-20251028-10

CVSS3: 8.5
redos
20 дней назад

Множественные уязвимости nvidia-container

redhat логотип

CVE-2024-0132

CVSS3: 8.3
redhat
около 1 года назад

NVIDIA Container Toolkit 1.16.1 or earlier contains a Time-of-check Time-of-Use (TOCTOU) vulnerability when used with default configuration where a specifically crafted container image may gain access to the host file system. This does not impact use cases where CDI is used. A successful exploit of this vulnerability may lead to code execution, denial of service, escalation of privileges, information disclosure, and data tampering.

nvd логотип

CVE-2024-0132

CVSS3: 9
nvd
около 1 года назад

NVIDIA Container Toolkit 1.16.1 or earlier contains a Time-of-check Time-of-Use (TOCTOU) vulnerability when used with default configuration where a specifically crafted container image may gain access to the host file system. This does not impact use cases where CDI is used. A successful exploit of this vulnerability may lead to code execution, denial of service, escalation of privileges, information disclosure, and data tampering.

msrc логотип

CVE-2024-0132

CVSS3: 8.3
msrc
около 1 года назад

NVIDIA: CVE-2024-0132 Container Toolkit 1.16.1 and Earlier Time-of-check Time-of Use Vulnerability

EPSS

Процентиль: 86%
0.02917
Низкий

9 Critical

CVSS3

9 Critical

CVSS2