2024-10-02 www.dnxtw.com
电脑系统网 10 月 2 日消息,Wiz Research 于 9 月 26 英伟达容器工具包日发布博文,报道称(NVIDIA Container Toolkit)高风险漏洞的存在影响了所有依赖工具的访问 GPU 资源的 AI 应用程序。
该漏洞的跟踪编号为 CVE-攻击者可以执行容器逃逸攻击,获得主机系统的完全访问权限,从而执行命令或窃取敏感信息。
许多以 AI 英伟达的工具包将预装为中心平台和虚拟机镜像,用于呼叫访问 GPU 标准工具。根据 Wiz Research,超过 35% 云环境面临着利用漏洞攻击的风险。
攻击者可以通过特殊的容器镜像逃离容器,直接或间接攻击主机。
问题在于容器化 GPU 与主机之间缺乏安全隔离,导致容器可以挂载主机文件系统的敏感部分或访问 Unix 套接字等。用于进程间通信 Runtime 资源。
CVE-2024-0132 严重性评分为 9.0,影响 NVIDIA Container Toolkit 1.16.1 以及以前的版本,以及 GPU Operator 24.6.1 早期版本。
尽管大多数文件系统都是以“只读”权限挂载的,但也有一些 Unix 例如,“套接字”docker.sock’和‘containerd.sock仍然可以写,允许直接与宿主机交互,包括执行命令。
Wiz 研究人员发现了这个漏洞,并在 9 月 1 日向 NVIDIA 几天后,英伟达确认了这份报告 9 月 26 修复补丁于日发布。
计算机系统网注:英伟达推荐用户尽快升级到 NVIDIA Container Toolkit version 1.16.2 和 NVIDIA GPU Operator 24.6.2。
广告声明:文本中包含的外部跳转链接(包括不限于超链接、二维码、密码等形式)用于传递更多信息,节省选择时间。结果仅供参考。计算机系统网络上的所有文章都包含了本声明。