Nvidia, Nvidia DGX A100 ve H100 sistemleri için ürün yazılımı güncellemelerini yayınladı. Geliştiriciler, saldırganların eklenen kötü amaçlı kodları çalıştırabileceği, haklarını genişletebileceği veya yetkisiz bilgileri gözetleyebileceği bazı kritik güvenlik açıklarını kapatıyor.
Duyuru
Nvidia H100 sistemleri, üreticinin en yeni Hopper GPU'ları arasında yer alıyor ve yüksek aktarım hızları ve bol miktarda belleğe sahip yapay zeka hesaplamaları için özellikle ideal. Microsoft, bunu Azure bulut hizmetlerinde AI örnekleri için geniş ölçekte kullanır.
Nvidia AI Hızlandırıcı: Boşluklar kod kaçakçılığına izin veriyor
Bir güvenlik duyurusunda Nvidia, güncellemenin düzelttiği ve ortadan kaldırdığı on bir güvenlik açığını listeliyor. Geliştiriciler bunlardan üçünü kritik, dördünü yüksek riskli ve diğer dördünü orta tehdit olarak sınıflandırıyor.
Saldırganlar, hazırlanmış bir ağ paketi göndererek, önceden kimlik doğrulaması yapmadan yığın tabanlı bir arabellek taşmasını tetikleyebilir. Sonuç olarak, rastgele kod sızdırabilir, hizmet reddine neden olabilir, yetkisiz bilgileri görüntüleyebilir veya verileri değiştirebilirler. Güvenlik açığı, Temel Kart Yönetim Denetleyicisi (BMC) KVM arka plan programı DGX-A100'de (CVE-2023-31029, CVSS) bulunuyor. 9.3“Risk”eleştirmen“). Başka bir güvenlik açığı aynı bileşenlerde aynı etkiye sahiptir (CVE-2023-31030, CVSS 9.3, eleştirmen). Ayrıca saldırganlar, DGC-A100-BMC'nin (CVE-2023-31024, CVSS) ana bilgisayar KVM arka plan programı da dahil olmak üzere, önceden oturum açmadan yığın belleği kesintilerine neden olabilir. 9.0, eleştirmen).
Yüksek riskli açıklardan bazıları DGX-H100-BMC'yi de etkiliyor. Hataları düzelten 00.22.05 öncesi tüm DGX-A100-BMC ve DGC-H100-BMC sürümleri etkilenir. Ayrıca Nvidia DGC A100'ün SBIOS'u 1.25'ten önceki sürümlere kadar savunmasızdır. Güvenlik açıklarını gidermek için güncellenen SBIOS sürümü 23.08.18'dir. BT yöneticileri güncellemeleri Nvidia'nın kurumsal destek portalından alabilirler.
Bunlardan bazıları, saldırganların önceden kaydolmadan İnternet üzerinden kötüye kullanabileceği kritik güvenlik açıklarını temsil ettiğinden, yöneticilerin mevcut güncellemeleri hızlı bir şekilde indirmesi ve uygulaması gerekir.
Kasım ayında Nvidia, GeForce sürücülerindeki güvenlik açıklarını kapatmak için güvenlik güncellemeleri yayınladı. Saldırganlar, güvenlik açığı bulunan Linux ve Windows sistemlerindeki haklarını genişletebilir veya bilgileri okuyabilirdi.
(Bilmiyorum)
Haberin Sonu
Duyuru
Nvidia H100 sistemleri, üreticinin en yeni Hopper GPU'ları arasında yer alıyor ve yüksek aktarım hızları ve bol miktarda belleğe sahip yapay zeka hesaplamaları için özellikle ideal. Microsoft, bunu Azure bulut hizmetlerinde AI örnekleri için geniş ölçekte kullanır.
Nvidia AI Hızlandırıcı: Boşluklar kod kaçakçılığına izin veriyor
Bir güvenlik duyurusunda Nvidia, güncellemenin düzelttiği ve ortadan kaldırdığı on bir güvenlik açığını listeliyor. Geliştiriciler bunlardan üçünü kritik, dördünü yüksek riskli ve diğer dördünü orta tehdit olarak sınıflandırıyor.
Saldırganlar, hazırlanmış bir ağ paketi göndererek, önceden kimlik doğrulaması yapmadan yığın tabanlı bir arabellek taşmasını tetikleyebilir. Sonuç olarak, rastgele kod sızdırabilir, hizmet reddine neden olabilir, yetkisiz bilgileri görüntüleyebilir veya verileri değiştirebilirler. Güvenlik açığı, Temel Kart Yönetim Denetleyicisi (BMC) KVM arka plan programı DGX-A100'de (CVE-2023-31029, CVSS) bulunuyor. 9.3“Risk”eleştirmen“). Başka bir güvenlik açığı aynı bileşenlerde aynı etkiye sahiptir (CVE-2023-31030, CVSS 9.3, eleştirmen). Ayrıca saldırganlar, DGC-A100-BMC'nin (CVE-2023-31024, CVSS) ana bilgisayar KVM arka plan programı da dahil olmak üzere, önceden oturum açmadan yığın belleği kesintilerine neden olabilir. 9.0, eleştirmen).
Yüksek riskli açıklardan bazıları DGX-H100-BMC'yi de etkiliyor. Hataları düzelten 00.22.05 öncesi tüm DGX-A100-BMC ve DGC-H100-BMC sürümleri etkilenir. Ayrıca Nvidia DGC A100'ün SBIOS'u 1.25'ten önceki sürümlere kadar savunmasızdır. Güvenlik açıklarını gidermek için güncellenen SBIOS sürümü 23.08.18'dir. BT yöneticileri güncellemeleri Nvidia'nın kurumsal destek portalından alabilirler.
Bunlardan bazıları, saldırganların önceden kaydolmadan İnternet üzerinden kötüye kullanabileceği kritik güvenlik açıklarını temsil ettiğinden, yöneticilerin mevcut güncellemeleri hızlı bir şekilde indirmesi ve uygulaması gerekir.
Kasım ayında Nvidia, GeForce sürücülerindeki güvenlik açıklarını kapatmak için güvenlik güncellemeleri yayınladı. Saldırganlar, güvenlik açığı bulunan Linux ve Windows sistemlerindeki haklarını genişletebilir veya bilgileri okuyabilirdi.
(Bilmiyorum)
Haberin Sonu