Vulnerabilitatea critică în NVIDIA Container Toolkit
Sursă: https://thehackernews.com
A fost dezvăluită o vulnerabilitate critică în NVIDIA Container Toolkit care, dacă este exploatată cu succes, ar putea permite atacatorilor să depășească restricțiile unui container și să obțină acces complet la gazda de bază.
Vulnerabilitatea, urmărită ca CVE-2024-0132, are un scor CVSS de 9.0/10. Aceasta a fost remediată în NVIDIA Container Toolkit versiunea v1.16.2 și NVIDIA GPU Operator versiunea 24.6.2.
NVIDIA Container Toolkit 1.16.1 sau o versiune anterioară conține o vulnerabilitate TOCTOU (Time-of-check Time-of-Use) atunci când este utilizat cu o configurația implicită, unde o imagine de container malițioasă poate obține acces la sistemul de fișiere al gazdei, a semnalat NVIDIA într-un aviz.
Vulnerabilitatea afectează toate versiunile NVIDIA Container Toolkit până la și inclusiv v1.16.1 și NVIDIA GPU Operator până la și inclusiv 24.6.1. Cu toate acestea, nu afectează situațiile în care se utilizează Container Device Interface (CDI).
O persoană rău intenționată ar putea exploata vulnerabilitatea prin crearea unei imagini container malițioase care, atunci când este rulată în cadrul platformei țintă, direct sau indirect, îi acordă acces deplin la sistemul de fișiere.
Se recomandă utilizatorilor să aplice actualizările de securitate disponibile pentru a se proteja de potențialele exploatări.
Sursă: https://thehackernews.com/2024/09/critical-nvidia-container-toolkit.html
