Nvidia реагирует на критическую уязвимость в своих облачных инструментах

Исследователи из компании Wiz выявили критическую уязвимость в инструментарии Nvidia Container Toolkit, активно применяемом в облачных средах для управления задачами искусственного интеллекта. Проблема, присвоенная идентификатором CVE-2024-0132, оценена в 9 баллов на шкале опасности CVSS, указывая на высокий уровень угрозы безопасности систем.

Уязвимость связана с ошибкой времени проверки и использования (TOCTOU), что давало возможность злоумышленникам исполнить произвольный код, получить доступ к чувствительным данным или изменить информацию, захватывая контроль над хост-машинами. Это могло привести к тому, что атакующие могли выйти за рамки контейнеризации и взять под контроль операционную систему хоста.

Версии до Nvidia Container Toolkit 1.16.1 и Nvidia GPU Operator до 24.6.1 подвержены этой уязвимости. Учитывая широкое использование этих продуктов в облачных платформах, порядка 35% таких систем, оснащенных GPU от Nvidia, могли столкнуться с угрозами.

Nvidia уже выпустила необходимые обновления для решения этой проблемы и активно призывает пользователей применить их как можно скорее для обеспечения защиты своих систем от потенциальных атак.