tathoa0607

Moderator
Thành viên BQT
14/01/2021
19
82 bài viết
NVIDIA giải quyết các lỗi nghiêm trọng trong DGX A100/H100
Gần đây, NVIDIA đã phát hành bản cập nhật firmware quan trọng cho hệ thống máy tính của mình, bao gồm DGX A100 và H100. Đây là một bản cập nhật firmware toàn diện, giải quyết một loạt các lỗ hổng có thể gây ảnh hưởng đáng kể đối với người dùng và hệ sinh thái AI.

Bản cập nhật của NVIDIA xử lý 11 lỗ hổng trên firmware, trong đó có một số lỗ hổng được đánh giá là nghiêm trọng. Các lỗ hổng này có mức độ nguy hiểm khác nhau nhưng đều có khả năng tác động nghiêm trọng đến bảo mật hệ thống và tính toàn vẹn dữ liệu. Các lỗ hổng bao gồm:

R.jpg

Lỗ hổng nghiêm trọng​

  • CVE-2023-31029 và CVE-2023-31030 (CVSS 9.3): Cả hai lỗ hổng này đều tồn tại trong Baseboard management controller (bộ điều khiển quản lý bảng cơ sở) của NVIDIA DGX A100. Chúng liên quan đến daemon KVM của máy chủ và có thể cho phép kẻ tấn công không cần xác thực gây tràn ngăn xếp thông qua gói tin đặc biệt. Hậu quả của lỗi này rất nghiêm trọng, bao gồm thực thi mã tùy ý, từ chối dịch vụ, lộ lọt thông tin và giả mạo dữ liệu.
  • CVE-2023-31024 (CVSS 9.0): Lỗ hổng này cũng có trong DGX A100 BMC, có thể dẫn đến hỏng bộ nhớ ngăn xếp bởi kẻ tấn công không được xác thực lợi dụng gói tin đặc biệt. Tác động tương tự như 2 lỗi nêu trên.

Lỗ hổng nghiêm trọng cao​

  • CVE-2023-25529 và CVE-2023-25530 (CVSS 8.0): Các lỗ hổng này xuất hiện trong cả DGX H100 và A100 BMC, lần lượt liên quan đến daemon KVM và dịch vụ KVM trên máy chủ. Cho phép kẻ tấn công khai thác sự khác biệt về thời gian hoặc xác thực đầu vào không đúng, dẫn đến lộ lọt thông tin, leo thang đặc quyền và giả mạo dữ liệu.
  • CVE-2023-31032 và CVE-2023-31035 (CVSS 7.5): Được tìm thấy trong DGX A100 SBIOS, các lỗ hổng này cho phép đánh giá biến động và lỗ hổng SMI có thể dẫn đến RCE, DoS, leo thang đặc quyền.

Lỗ hổng trung bình và thấp hơn​

  • CVE-2023-31033, CVE-2023-31034, CVE-2023-31025 và CVE-2023-31031 : Các lỗ hổng này, với điểm CVSS từ 4,2 đến 6,8, bao gồm các lỗi thiếu xác thực, tràn số nguyên (integer overflow), LDAP user injection, và tràn bộ đệm. Mỗi lỗ hổng đều gây ra mối đe dọa đối với sự ổn định và bảo mật của hệ thống.
NVIDIA đã kịp thời phản hồi bằng bản cập nhật firmware mới nhất để giảm thiểu những lỗ hổng này. Bản cập nhật rất cần thiết cho tất cả các hệ thống DGX A100 và H100, vì lỗi BMC có mặt ở tất cả các phiên bản 0.22.05. Ngoài ra, NVIDIA đã đưa ra bản sửa lỗi cho các lỗ hổng được đánh giá thấp hơn trong các phiên bản DGX A100 SBIOS 1.25.

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2023-25529 cve-2023-25530 cve-2023-31024 cve-2023-31029 cve-2023-31030 cve-2023-31032 cve-2023-31035 dgx a100 dgx a100 và h100 nvidia
Bên trên