英伟达修复 9_10 高危漏洞：可从容器逃逸

摘要： 辽宁双雄将入选名人堂广州核心也将入选辽宁双雄注定将入选中国男篮的名人堂这个可能还真有尤其是在最近的几个赛季当辽宁王朝横空出世之后球迷们第一时间细数谁才是...

辽宁双雄将入选名人堂，广州核心也将入选 辽宁双雄注定将入选中国男篮的名人堂？这个可能还真有！尤其是在最近的几个赛季，当辽宁王朝横空出世之后，球迷们第一时间细数谁才是最大的功臣。这不，就连早....

IT之家 10 月 2 日消息，Wiz Research 于 9 月 26 日发布博文，报道称英伟达容器工具包（NVIDIA Container Toolkit）存在高危漏洞，影响所有依赖于该工具访问 GPU 资源的 AI 应用程序。

该漏洞追踪编号为 CVE-2024-0132，攻击者可以执行容器逃逸攻击，获得主机系统的完全访问权限，从而执行命令或窃取敏感信息。

许多以 AI 为中心的 和虚拟机镜像会预装英伟达的工具包，是调用访问 GPU 的标准工具。根据 Wiz Research，超过 35% 的云环境面临利用该漏洞进行攻击的风险。

攻击者可以通过特制的容器镜像，可以从容器中逃逸出来访问主机，直接或间接攻击主机。

问题在于容器化的 GPU 与主机之间缺乏安全隔离，导致容器可以挂载主机文件系统的敏感部分或访问 Unix 套接字等用于进程间通信的 Runtime 资源。

CVE-2024-0132 的严重性 为 9.0，影响 NVIDIA Container Toolkit 1.16.1 及之前版本，以及 GPU Oper or 24.6.1 及更早版本。

虽然大多数文件系统以“只读”权限挂载，但某些 Unix 套接字，如‘docker.sock’和‘containerd.sock’，仍然可写，允许与宿主机直接交互，包括执行命令。

Wiz 研究人员发现了这个漏洞，并在 9 月 1 日向 NVIDIA 报告，英伟达在几天后确认了报告，并在 9 月 26 日发布了修复补丁。

IT之家注：英伟达推荐用户尽快升级到 NVIDIA Container Toolkit version 1.16.2 和 NVIDIA GPU Oper or 24.6.2。