英伟达修复 9_10 高危漏洞:可从容器逃逸
原标题:英伟达修复 9_10 高危漏洞:可从容器逃逸
导读:
看多了特警神剧特警偶像剧仿佛只要是一个人都能够当特警都能够当特种兵在剧中谈恋爱在剧中训练一些最简单的东西训练完之后竟然连一点汗都不出不过即使是这样的剧依然有着很多人观看因为这种...
看多了特警神剧,特警偶像剧,仿佛只要是一个人都能够当特警,都能够当特种兵,在剧中谈恋爱,在剧中训练一些最简单的东西,训练完之后竟然连一点汗都不出,不过即使是这样的剧,依然有着很多人观看,因为这种剧的....
IT之家 10 月 2 日消息,Wiz Research 于 9 月 26 日发布博文,报道称英伟达容器工具包(NVIDIA Container Toolkit)存在高危漏洞,影响所有依赖于该工具访问 GPU 资源的 AI 应用程序。
该漏洞追踪编号为 CVE-2024-0132,攻击者可以执行容器逃逸攻击,获得主机系统的完全访问权限,从而执行命令或窃取敏感信息。
许多以 AI 为中心的 和虚拟机镜像会预装英伟达的工具包,是调用访问 GPU 的标准工具。根据 Wiz Research,超过 35% 的云环境面临利用该漏洞进行攻击的风险。
攻击者可以通过特制的容器镜像,可以从容器中逃逸出来访问主机,直接或间接攻击主机。
问题在于容器化的 GPU 与主机之间缺乏安全隔离,导致容器可以挂载主机文件系统的敏感部分或访问 Unix 套接字等用于进程间通信的 Runtime 资源。
CVE-2024-0132 的严重性 为 9.0,影响 NVIDIA Container Toolkit 1.16.1 及之前版本,以及 GPU Oper or 24.6.1 及更早版本。
虽然大多数文件系统以“只读”权限挂载,但某些 Unix 套接字,如‘docker.sock’和‘containerd.sock’,仍然可写,允许与宿主机直接交互,包括执行命令。
Wiz 研究人员发现了这个漏洞,并在 9 月 1 日向 NVIDIA 报告,英伟达在几天后确认了报告,并在 9 月 26 日发布了修复补丁。
IT之家注:英伟达推荐用户尽快升级到 NVIDIA Container Toolkit version 1.16.2 和 NVIDIA GPU Oper or 24.6.2。