Уязвимость программного обеспечения для создания и запуска контейнеров NVIDIA Container Toolkit и программного средства для управления ресурсами NVIDIA GPU Operator связана с разыменованием нулевого указателя из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии или выполнить произвольный код на базовом хосте путём использования специально сформированного образа контейнера
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование образов контейнеров, полученных только из доверенных источников;
- использование интерфейса Container Device Interface (CDI) для предотвращения попыток эксплуатации уязвимости.
Использование рекомендаций:
https://nvidia.custhelp.com/app/answers/detail/a_id/5582
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-nvidia-container-toolkit-28102028/?sphrase_id=1334719
| Балл | 9 — критическая опасность |