Nvidia公告容器工具套件及GPU Operator高風險弱點

在今年CES發表開場演講的Nvidia，揭露代理型AI、自動駕駛車輛與機器人最新趨勢，他們提供的GPU加速軟體元件能否確保安全性，也成為各界關注焦點。

1月13日Nvidia發布資安公告，指出旗下的容器工具套件（Container Toolkit）及GPU Operator存在3項漏洞CVE-2024-0135、CVE-2024-0136、CVE-2024-0137，有可能導致阻斷服務（DoS）、權限提升、資訊洩露、資料竄改，或是任意程式碼執行的情況，他們發布1.17.1版Container Toolkit、24.9.1版GPU Operator修補上述弱點。

根據CVSS風險評分，評為高風險層級的CVE-2024-0135、CVE-2024-0136值得留意。其中CVE-2024-0135為隔離不當產生造成的弱點，因為攻擊者藉由偽造的容器映像檔，可能竄改主機的二進位程式，CVSS風險評為7.6。

另一個漏洞CVE-2024-0136同樣涉及隔離不當，一旦攻擊者利用偽造的容器映像檔，就有可能導致不受信任的程式碼可被植入主機，且可被讀取，CVSS風險為7.6。