ГлавнаяБаза уязвимостей БДУ → BDU:2025-08697
7.7критическая

BDU:2025-08697 (CVE-2025-23266)

Уязвимость функции enable-cuda-compat программного обеспечения для создания и запуска контейнеров NVIDIA Container Toolkit и программного средства для управления ресурсами NVIDIA GPU Operator, позволяющая нарушителю выполнить произвольный код, повысить свои привилегии, получить несанкционированный доступ на чтение и изменение защищаемой информации или вызвать отказ в обслуживании
Опубликовано: 2025-07-21
Описание

Уязвимость функции enable-cuda-compat программного обеспечения для создания и запуска контейнеров NVIDIA Container Toolkit и программного средства для управления ресурсами NVIDIA GPU Operator связана с использованием ненадёжного пути поиска. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код, повысить свои привилегии, получить несанкционированный доступ на чтение и изменение защищаемой информации или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
РЕД ОС (7.3)NVIDIA Container Toolkit (до 1.17.8)NVIDIA GPU Operator (до 25.3.1)Platform V SberLinux OS Server (9.2.0-fstec)
Способ устранения

Использование рекомендаций производителя:
https://nvidia.custhelp.com/app/answers/detail/a_id/5659

Компенсирующие меры:
В случае невозможности установки обновления рекомендуется в режиме NVIDIA Container Runtime отредактировать файл /etc/nvidia-container-toolkit/config.tom, установив значение true:
[features]
disable-cuda-compat-lib-hook = true

Для NVIDIA GPU Operator:
Следует добавить значение disable-cuda-compat-lib-hook к переменной NVIDIA_CONTAINER_TOOLKIT_OPT_IN_FEATURES:
--set
"toolkit.env[0].name=NVIDIA_CONTAINER_TOOLKIT_OPT_IN_FEATURES" \
--set
"toolkit.env[0].value=disable-cuda-compat-lib-hook"
Любые другие требуемые флаги функций должны быть разделены запятыми в флаге --set "toolkit.env[0].value” .

При использовании версии GPU Operator до 25.3.1 можно развернуть NVIDIA Container Toolkit 1.17.8, включив следующие аргументы при установке или обновлении GPU Operator с помощью Helm:
--set "toolkit.version=v1.17.8-ubuntu20.04"
Для Red Hat Enterprise Linux или Red Hat OpenShift необходимо указать тег v1.17.8-ubi8.

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-nvidia-container-toolkit-28102028/?sphrase_id=1334719

Оценка CVSS
Балл7.7 — критическая опасность
Источники и патчи
https://nvidia.custhelp.com/app/answers/detail/a_id/5659https://www.wiz.io/blog/nvidia-ai-vulnerability-cve-2025-23266-nvidiascapehttps://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-nvidia-container-toolkit-28102028/?sphrase_id=1334719
Проверьте безопасность своего сайта и почты → Полная проверка домена