Nvidia, Nvidia DGX A100 ve H100 sistemleri için ürün yazılımı güncellemelerini yayınladı. Geliştiriciler, saldırganların eklenen kötü amaçlı kodları çalıştırabileceği, haklarını genişletebileceği veya yetkisiz bilgileri gözetleyebileceği bazı kritik güvenlik açıklarını kapatıyor.
Reklamcılık
Nvidia H100 sistemleri, üreticinin en yeni Hopper GPU'ları arasında yer alıyor ve özellikle yüksek aktarım hızlarına ve bol belleğe sahip yapay zeka hesaplamaları için ideal. Microsoft, bunu Azure bulut hizmetlerindeki yapay zeka örnekleri için büyük ölçekte kullanıyor.
Nvidia AI hızlandırıcı: Boşluklar kod kaçakçılığına olanak tanıyor
Bir güvenlik duyurusunda Nvidia, güncellemenin ele aldığı ve ortadan kaldırdığı on bir güvenlik açığını listeliyor. Geliştiriciler bunlardan üçünü kritik, dördünü yüksek riskli ve diğer dördünü orta tehdit olarak sınıflandırıyor.
Saldırganlar, hazırlanmış bir ağ paketi göndererek, önceden kimlik doğrulaması yapmadan yığın tabanlı bir arabellek taşmasını tetikleyebilir. Sonuç olarak, rastgele kod sızdırabilir, hizmet reddine neden olabilir, yetkisiz bilgileri görüntüleyebilir veya verileri manipüle edebilirler. Güvenlik açığı, DGX-A100 Anakart Yönetim Denetleyicisinin (BMC) (CVE-2023-31029, CVSS) KVM arka plan programında bulunuyor. 9.3“Risk”kritik“). Başka bir güvenlik açığı aynı bileşenlerde aynı etkiye sahiptir (CVE-2023-31030, CVSS 9.3, kritik). Ayrıca, kötü niyetli aktörler önceden oturum açmadan yığın belleği kesintilerine neden olabilir – ayrıca DGC-A100-BMC'nin ana bilgisayar KVM arka plan programında da (CVE-2023-31024, CVSS) 9.0, kritik).
Yüksek riskli açıklardan bazıları DGX-H100-BMC'yi de etkiliyor. Hataları düzelten 00.22.05 tarihinden önceki tüm DGX-A100-BMC ve DGC-H100-BMC sürümleri etkilenmektedir. Ayrıca Nvidia DGC A100'ün SBIOS'u 1.25'ten önceki sürüme kadar savunmasızdır. Güvenlik açıklarını düzeltmek için güncellenen SBIOS sürümü 23.08.2018'dir. BT yöneticileri güncellemeleri Nvidia'nın Kurumsal Destek portalından edinebilir.
Bunlardan bazıları, saldırganların önceden kaydolmadan İnternet'ten kötüye kullanabileceği kritik güvenlik açıkları olduğundan, yöneticilerin mevcut güncellemeleri hızlı bir şekilde indirip uygulaması gerekir.
Kasım ayında Nvidia, GeForce sürücülerindeki güvenlik açıklarını kapatmak için güvenlik güncellemeleri yayınladı. Saldırganlar, güvenlik açığı bulunan Linux ve Windows sistemlerindeki haklarını genişletebilir veya bilgileri okuyabilirdi.
(DMK)
Haberin Sonu
Reklamcılık
Nvidia H100 sistemleri, üreticinin en yeni Hopper GPU'ları arasında yer alıyor ve özellikle yüksek aktarım hızlarına ve bol belleğe sahip yapay zeka hesaplamaları için ideal. Microsoft, bunu Azure bulut hizmetlerindeki yapay zeka örnekleri için büyük ölçekte kullanıyor.
Nvidia AI hızlandırıcı: Boşluklar kod kaçakçılığına olanak tanıyor
Bir güvenlik duyurusunda Nvidia, güncellemenin ele aldığı ve ortadan kaldırdığı on bir güvenlik açığını listeliyor. Geliştiriciler bunlardan üçünü kritik, dördünü yüksek riskli ve diğer dördünü orta tehdit olarak sınıflandırıyor.
Saldırganlar, hazırlanmış bir ağ paketi göndererek, önceden kimlik doğrulaması yapmadan yığın tabanlı bir arabellek taşmasını tetikleyebilir. Sonuç olarak, rastgele kod sızdırabilir, hizmet reddine neden olabilir, yetkisiz bilgileri görüntüleyebilir veya verileri manipüle edebilirler. Güvenlik açığı, DGX-A100 Anakart Yönetim Denetleyicisinin (BMC) (CVE-2023-31029, CVSS) KVM arka plan programında bulunuyor. 9.3“Risk”kritik“). Başka bir güvenlik açığı aynı bileşenlerde aynı etkiye sahiptir (CVE-2023-31030, CVSS 9.3, kritik). Ayrıca, kötü niyetli aktörler önceden oturum açmadan yığın belleği kesintilerine neden olabilir – ayrıca DGC-A100-BMC'nin ana bilgisayar KVM arka plan programında da (CVE-2023-31024, CVSS) 9.0, kritik).
Yüksek riskli açıklardan bazıları DGX-H100-BMC'yi de etkiliyor. Hataları düzelten 00.22.05 tarihinden önceki tüm DGX-A100-BMC ve DGC-H100-BMC sürümleri etkilenmektedir. Ayrıca Nvidia DGC A100'ün SBIOS'u 1.25'ten önceki sürüme kadar savunmasızdır. Güvenlik açıklarını düzeltmek için güncellenen SBIOS sürümü 23.08.2018'dir. BT yöneticileri güncellemeleri Nvidia'nın Kurumsal Destek portalından edinebilir.
Bunlardan bazıları, saldırganların önceden kaydolmadan İnternet'ten kötüye kullanabileceği kritik güvenlik açıkları olduğundan, yöneticilerin mevcut güncellemeleri hızlı bir şekilde indirip uygulaması gerekir.
Kasım ayında Nvidia, GeForce sürücülerindeki güvenlik açıklarını kapatmak için güvenlik güncellemeleri yayınladı. Saldırganlar, güvenlik açığı bulunan Linux ve Windows sistemlerindeki haklarını genişletebilir veya bilgileri okuyabilirdi.
(DMK)
Haberin Sonu