Уязвимость функции enable-cuda-compat программного обеспечения для создания и запуска контейнеров NVIDIA Container Toolkit и программного средства для управления ресурсами NVIDIA GPU Operator связана с использованием ненадёжного пути поиска. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код, повысить свои привилегии, получить несанкционированный доступ на чтение и изменение защищаемой информации или вызвать отказ в обслуживании
Использование рекомендаций производителя:
https://nvidia.custhelp.com/app/answers/detail/a_id/5659
Компенсирующие меры:
В случае невозможности установки обновления рекомендуется в режиме NVIDIA Container Runtime отредактировать файл /etc/nvidia-container-toolkit/config.tom, установив значение true:
[features]
disable-cuda-compat-lib-hook = true
Для NVIDIA GPU Operator:
Следует добавить значение disable-cuda-compat-lib-hook к переменной NVIDIA_CONTAINER_TOOLKIT_OPT_IN_FEATURES:
--set
"toolkit.env[0].name=NVIDIA_CONTAINER_TOOLKIT_OPT_IN_FEATURES" \
--set
"toolkit.env[0].value=disable-cuda-compat-lib-hook"
Любые другие требуемые флаги функций должны быть разделены запятыми в флаге --set "toolkit.env[0].value” .
При использовании версии GPU Operator до 25.3.1 можно развернуть NVIDIA Container Toolkit 1.17.8, включив следующие аргументы при установке или обновлении GPU Operator с помощью Helm:
--set "toolkit.version=v1.17.8-ubuntu20.04"
Для Red Hat Enterprise Linux или Red Hat OpenShift необходимо указать тег v1.17.8-ubi8.
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-nvidia-container-toolkit-28102028/?sphrase_id=1334719
| Балл | 7.7 — критическая опасность |