露出 twitter 英伟达配置 9/10 高危间隙:可安宁器逃跑
IT之家 10 月 2 日音问,Wiz Research 于 9 月 26 日发布博文露出 twitter,报说念称英伟达容器用具包(NVIDIA Container Toolkit)存在高危间隙,影响统共依赖于该用具访谒 GPU 资源的 AI 应用次序。
该间隙跟踪编号为 CVE-2024-0132,报复者不错实践容器逃跑报复,取得主机系统的饱胀访谒权限,从而实践号令或窃取敏锐信息。
好多以 AI 为中心的平台和编造机镜像会预装英伟达的用具包,是调用访谒 GPU 的法子用具。左证 Wiz Research,寄明月 裸舞向上 35% 的云环境濒临哄骗该间隙进行报复的风险。
报复者不错通过特制的容器镜像露出 twitter,不错安宁器中逃跑出来访谒主机,平直或迂答复复主机。
问题在于容器化的 GPU 与主机之间穷乏安全隐私,导致容器不错挂载主机文献系统的敏锐部分或访谒 Unix 套接字等用于进度间通讯的 Runtime 资源。
CVE-2024-0132 的严重性评分为 9.0,影响 NVIDIA Container Toolkit 1.16.1 及之前版块,以及 GPU Operator 24.6.1 及更早版块。
固然大多半文献系统以“只读”权限挂载,但某些 Unix 套接字,如‘docker.sock’和‘containerd.sock’,仍然可写,允许与宿主机平直交互,包括实践号令。
Wiz 相关东说念主员发现了这个间隙,并在 9 月 1 日向 NVIDIA 论述,英伟达在几天后证据了论述,并在 9 月 26 日发布了配置补丁。
巨乳 乳首IT之家注:英伟达推采选户尽快升级到 NVIDIA Container Toolkit version 1.16.2 和 NVIDIA GPU Operator 24.6.2露出 twitter。