-
14/01/2021
-
19
-
85 bài viết
NVIDIA giải quyết các lỗi nghiêm trọng trong DGX A100/H100
Gần đây, NVIDIA đã phát hành bản cập nhật firmware quan trọng cho hệ thống máy tính của mình, bao gồm DGX A100 và H100. Đây là một bản cập nhật firmware toàn diện, giải quyết một loạt các lỗ hổng có thể gây ảnh hưởng đáng kể đối với người dùng và hệ sinh thái AI.
Bản cập nhật của NVIDIA xử lý 11 lỗ hổng trên firmware, trong đó có một số lỗ hổng được đánh giá là nghiêm trọng. Các lỗ hổng này có mức độ nguy hiểm khác nhau nhưng đều có khả năng tác động nghiêm trọng đến bảo mật hệ thống và tính toàn vẹn dữ liệu. Các lỗ hổng bao gồm:
Bản cập nhật của NVIDIA xử lý 11 lỗ hổng trên firmware, trong đó có một số lỗ hổng được đánh giá là nghiêm trọng. Các lỗ hổng này có mức độ nguy hiểm khác nhau nhưng đều có khả năng tác động nghiêm trọng đến bảo mật hệ thống và tính toàn vẹn dữ liệu. Các lỗ hổng bao gồm:
Lỗ hổng nghiêm trọng
- CVE-2023-31029 và CVE-2023-31030 (CVSS 9.3): Cả hai lỗ hổng này đều tồn tại trong Baseboard management controller (bộ điều khiển quản lý bảng cơ sở) của NVIDIA DGX A100. Chúng liên quan đến daemon KVM của máy chủ và có thể cho phép kẻ tấn công không cần xác thực gây tràn ngăn xếp thông qua gói tin đặc biệt. Hậu quả của lỗi này rất nghiêm trọng, bao gồm thực thi mã tùy ý, từ chối dịch vụ, lộ lọt thông tin và giả mạo dữ liệu.
- CVE-2023-31024 (CVSS 9.0): Lỗ hổng này cũng có trong DGX A100 BMC, có thể dẫn đến hỏng bộ nhớ ngăn xếp bởi kẻ tấn công không được xác thực lợi dụng gói tin đặc biệt. Tác động tương tự như 2 lỗi nêu trên.
Lỗ hổng nghiêm trọng cao
- CVE-2023-25529 và CVE-2023-25530 (CVSS 8.0): Các lỗ hổng này xuất hiện trong cả DGX H100 và A100 BMC, lần lượt liên quan đến daemon KVM và dịch vụ KVM trên máy chủ. Cho phép kẻ tấn công khai thác sự khác biệt về thời gian hoặc xác thực đầu vào không đúng, dẫn đến lộ lọt thông tin, leo thang đặc quyền và giả mạo dữ liệu.
- CVE-2023-31032 và CVE-2023-31035 (CVSS 7.5): Được tìm thấy trong DGX A100 SBIOS, các lỗ hổng này cho phép đánh giá biến động và lỗ hổng SMI có thể dẫn đến RCE, DoS, leo thang đặc quyền.
Lỗ hổng trung bình và thấp hơn
- CVE-2023-31033, CVE-2023-31034, CVE-2023-31025 và CVE-2023-31031 : Các lỗ hổng này, với điểm CVSS từ 4,2 đến 6,8, bao gồm các lỗi thiếu xác thực, tràn số nguyên (integer overflow), LDAP user injection, và tràn bộ đệm. Mỗi lỗ hổng đều gây ra mối đe dọa đối với sự ổn định và bảo mật của hệ thống.
Theo Securityonline