露出 twitter 英伟达配置 9/10 高危间隙：可安宁器逃跑

IT之家 10 月 2 日音问，Wiz Research 于 9 月 26 日发布博文露出 twitter，报说念称英伟达容器用具包（NVIDIA Container Toolkit）存在高危间隙，影响统共依赖于该用具访谒 GPU 资源的 AI 应用次序。

该间隙跟踪编号为 CVE-2024-0132，报复者不错实践容器逃跑报复，取得主机系统的饱胀访谒权限，从而实践号令或窃取敏锐信息。

好多以 AI 为中心的平台和编造机镜像会预装英伟达的用具包，是调用访谒 GPU 的法子用具。左证 Wiz Research，寄明月 裸舞向上 35% 的云环境濒临哄骗该间隙进行报复的风险。

报复者不错通过特制的容器镜像露出 twitter，不错安宁器中逃跑出来访谒主机，平直或迂答复复主机。

问题在于容器化的 GPU 与主机之间穷乏安全隐私，导致容器不错挂载主机文献系统的敏锐部分或访谒 Unix 套接字等用于进度间通讯的 Runtime 资源。

CVE-2024-0132 的严重性评分为 9.0，影响 NVIDIA Container Toolkit 1.16.1 及之前版块，以及 GPU Operator 24.6.1 及更早版块。

固然大多半文献系统以“只读”权限挂载，但某些 Unix 套接字，如‘docker.sock’和‘containerd.sock’，仍然可写，允许与宿主机平直交互，包括实践号令。

Wiz 相关东说念主员发现了这个间隙，并在 9 月 1 日向 NVIDIA 论述，英伟达在几天后证据了论述，并在 9 月 26 日发布了配置补丁。

巨乳 乳首

IT之家注：英伟达推采选户尽快升级到 NVIDIA Container Toolkit version 1.16.2 和 NVIDIA GPU Operator 24.6.2露出 twitter。