NVIDIA - CVE-2024-0132

Exécution de code arbitraire

Élévation des privilèges

Atteinte à la confidentialité des données

Atteinte à l’intégrité des données

La vulnérabilité exploitée est du type
CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Élevée
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Mettre à jour NVIDIA Container Toolkit sur Linux vers la version 1.16.2 ou ultérieure.

Les clients de nœuds AKS basées sur Azure Linux doivent installer manuellement la version 2024.1009.1 avec la commande suivante suivante : 
tdnf install https://packages.microsoft.com/cbl-mariner/2.0/prod/base/x86_64/Package…

Les utilisateurs de AKS Node Pool basées sur Ubuntu Linux doivent mettre à niveau manuellement la version du pilote vers la version 202410.09.0 en suivant les instructions de cet article : AKS Node Image Upgrade.

Mettre à jour nvidia-container-toolkit pour Azure Linux et CBL Mariner vers la version 1.16.2-1 ou ultérieure.

Des informations complémentaires sont disponibles dans les bulletins de NVIDIA et Microsoft.