PT-2024-6648 · Nvidia+2 · Nvidia Container Toolkit+2
Publicado
2024-09-25
·
Atualizado
2026-02-17
·
CVE-2024-0132
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H |
Nome do software vulnerável e versões afetadas
NVIDIA Container Toolkit versões 1.16.1 e anteriores
NVIDIA GPU Operator versões 24.6.1 e anteriores
Descrição
Uma vulnerabilidade crítica no NVIDIA Container Toolkit permite que invasores saiam dos contêineres e obtenham acesso total ao sistema host. Essa vulnerabilidade, conhecida como vulnerabilidade Time-of-check Time-of-use (TOCTOU), pode ser explorada quando uma imagem de contêiner criada especificamente para esse fim é usada com a configuração padrão. A vulnerabilidade não afeta casos de uso em que o CDI é utilizado. Uma exploração bem-sucedida dessa vulnerabilidade pode levar à execução de código, negação de serviço, escalonamento de privilégios, divulgação de informações e adulteração de dados. Estima-se que mais de 35% dos ambientes de nuvem que utilizam GPUs NVIDIA estejam em risco.
Recomendações
Para o NVIDIA Container Toolkit versão 1.16.1 e anteriores, atualize para a versão 1.16.2 ou posterior.
Para o NVIDIA GPU Operator versão 24.6.1 e anteriores, atualize para a versão 24.6.2 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao kit de ferramentas de contêiner e ao operador de GPU vulneráveis até que um patch esteja disponível.
Exploit
Correção
DoS
Time Of Check To Time Of Use
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nvidia Container Toolkit
Red Os
Suse