Post #964

🖥 Критическая уязвимость в NVIDIA Container Toolkit позволяет полностью захватить хост 💡 Критическая уязвимость в NVIDIA Container Toolkit влияет на все приложения ИИ в облачной или локальной среде, которые используют его для доступа к ресурсам графического процессора. 🌟 Уязвимость отслеживается как CVE-2024-0132 и позволяет злоумышленнику осуществлять атаки с выходом из контейнера и получать полный доступ к хост-системе, где он может выполнять команды или извлекать конфиденциальную информацию ❗️ Уязвимость безопасности CVE-2024-0132 получила критическую оценку серьезности 9,0. Это проблема выхода из контейнера, которая затрагивает NVIDIA Container Toolkit 1.16.1 и более ранние версии, а также GPU Operator 24.6.1 и более ранние версии. 🌟 Проблема заключается в отсутствии надежной изоляции контейнеризированного графического процессора от хоста, что позволяет контейнерам монтировать чувствительные части файловой системы хоста или получать доступ к ресурсам среды выполнения, таким как сокеты Unix, для межпроцессного взаимодействия. 🌟 Хотя большинство файловых систем монтируются с правами «только для чтения», некоторые сокеты Unix, такие как «docker.sock» и «containerd.sock», остаются доступными для записи, что позволяет осуществлять прямое взаимодействие с хостом, включая выполнение команд 🔐 Исследователи Wiz обнаружили уязвимость и сообщили о ней NVIDIA 1 сентября. Производитель GPU подтвердил сообщение пару дней спустя и выпустил исправление 26 сентября. Пользователям, затронутым этой проблемой, рекомендуется обновить NVIDIA Container Toolkit до версии 1.16.2 и NVIDIA GPU Operator до 24.6.2 @devopsitsec