英伟达容器工具集中存在严重漏洞,攻击者可获得完全的主机权限

最新推荐文章于 2024-10-04 20:38:10 发布
最新推荐文章于 2024-10-04 20:38:10 发布
阅读量7 收藏
点赞数
文章标签: 网络
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520960&idx=2&sn=245f37b0bdb6b7db64b1b5f20c65a6d8&chksm=eb774921eafddd255d37f6b460e40f361af097420be562b63dd6b203250d82db252fa6a54944&scene=126&sessionid=0
版权

fe765b7b20be9c0e9b3b90e1aa734897.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

英伟达容器工具集 (NVIDIA Container Toolkit) 中存在一个严重漏洞,如遭成功利用可导致攻击者突破容器限制并获得对底层主机的完全访问权限。

2ae0fe6379ae88b29386564a7fa3f312.png

该漏洞的编号是CVE-2024-0132,CVSS评分为9.0,已在 NVIDIA Container Toolkit v1.16.2和NVIDIA GPU Operator 24.6.2中修复。英伟达发布安全公告指出,“NVIDIA Container Toolkit 1.16.1或更早版本中包含一个 TOCTOU 漏洞,如按默认配置使用,则特殊构造的容器镜像可能获得对主机文件系统的访问权限。成功利用该漏洞可能导致代码执行、拒绝服务、提权、信息泄露和数据篡改。”该漏洞影响 NVIDIA Container Toolkit v1.16.1及更早版本以及 NVIDIA GPU Operator 24.6.1及更早版本。然而,它并不影响使用 Container Device Interface (CDI) 的案例。

云安全公司 Wiz 发现了该漏洞并在9月1日告知英伟达。研究人员提到,该漏洞可导致控制由Toolkit运行的容器镜像进行容器逃逸并获得对底层主机的完全访问权限。

在假设理论的攻击场景中,攻击者可创建一个直接或间接在目标平台上运行的恶意容器镜像,利用该漏洞,使其获得对文件系统的完全访问权限。这种情况可用于供应链攻击中,即受害者被骗运行该恶意镜像,或者通过允许共享 GPU 资源的服务发动攻击。研究人员提到,“通过该访问权限,攻击者可触及 Container Runtime Unix 套接字 (docker.sock/containerd.sock)。这些套接字可被用于以根权限在主机系统上执行任意命令,从而控制机器。”

该问题为协同的多租户环境带来严重风险,因为它可导致攻击者逃逸沙箱并获得对数据以及在同样节点甚至是同样集群上运行的其它应用的机密。目前该攻击的详情并未被透露以免遭利用。强烈建议用户应用补丁以应对潜在威胁。研究人员提到,“虽然理论上的AI安全风险集中在未来的基于AI的攻击,但位于AI技术栈中的‘传统’基础设施漏洞仍然是安全团队应该优先处理并防御的即时风险。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

英伟达发布 GPU 驱动更新,修复25个漏洞

继英伟达、三星后,育碧也遭攻击,员工密码重置

黑客泄露DLSS源代码,逼英伟达开源GPU驱动

英伟达GPU打破了谷歌Chrome的隐身模式

原文链接

https://thehackernews.com/2024/09/critical-nvidia-container-toolkit.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

e322649c20743b061af353f964e65d61.jpeg

06ebc921ad93b1b3232fdfc10928e270.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   93618759342d4cc9512dc3090d676e1b.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
[漏洞验证] CVE-2021-1056 PoC 容器非法获取宿主机所有GPU
pockerfaceSad的博客
01-13 577
前言 CVE-2021-1056是我前一段时间提交给NVIDA PSIRT的一个存在于NVIDIA GPU驱动程序中与设备隔离相关的安全漏洞。 前几天NVIDIA已经发布了安全公告和补丁,所以在这里记录一下这个漏洞相关的验证和理解,漏洞利用代码和其他一些信息已经开源在GitHub。 利用这个漏洞,通过在容器中创建特殊的字符设备文件,一个非特权容器中的攻击者能够获取宿主机上所有GPU设备的权限。 我认为这个漏洞在多租户HPC集群,尤其是在深度学习云平台上,会带来显而易见的安全风险。 验证环境 Docker
Java开发常见专业术语
热门推荐
weixin_42408447的博客
05-10 1万+
1.脚本 脚本(Script),是使用一种特定的描述性语言,依据一定的格式编写的可执行文件。 2.http协议 HTTP协议,即超文本传输协议(Hyper text transfer protocol)。是一种详细规定了浏览器和万维网(WWW = World Wide Web)服务器之间互相通信的规则,通过因特网传送万维网文档的数据传送协议。 3.B/S结构和C/S结构 B/S(Browser/Server):指浏览器和服务器架构。 C/S(Client/Server):指客户端和服务器架构 4.报文 报文
Elastic 与 AWS 和解、英伟达收购 ARM 失败、英特尔加入RISC-V 组织|开源月报 Vol. 03...
腾源会
02-28 405
「WeOpen Insight」是腾源会推出的「开源趋势与开源洞见」内容专栏,不定期为读者呈现开源圈内的第一手快讯、优质工具盘点等,洞察开源技术发展的风向标,预见未来趋势。1社区新闻1、E...
ATLAS——对抗性机器学习威胁矩阵<简介>
weixin_44652210的博客
12-13 5185
相信有过安全分析工作经验的友友们对ATT&CK矩阵并不陌生,而对抗性机器学习威胁矩阵就是在机器学习攻防技术博弈的发展上,为了安全分析师能够将自己定位到这些新的和即将到来的威胁,参照ATT&CK矩阵技术的框架设计,来定位对机器学习 (ML) 系统的攻击。该框架植入了一系列精心策划的漏洞和攻击行为,微软和 MITRE 已经审查过这些漏洞和攻击行为对生产环境中机器学习系统有效。
Okta CEO 改口证实第三方账户受陷且影响客户,LAPSUS$扬言发动供应链攻击
smellycat000的专栏
03-23 640
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的...
面试必备:21个Kubernetes关键问题深度解析
Linux学习的那些事儿
08-22 2165
Kubernetes是当下每一位运维和开发必须掌握的关键技能。无论是在求职还是在提升工作效率方面,了解Kubernetes都显得至关重要。本文精选了21个高频Kubernetes面试问题,并提供详尽解答,帮助需要的你在面试中一鸣惊人!
科技云报道:拉响警报!2023年三大网络安全威胁不容忽视
科技云报道
11-13 1503
复合型网络攻击越演愈烈
智能汽车行业软件供应链安全威胁与解决方案分享——小米IoT安全峰会
murphysec的博客
08-08 2495
关于软件供应链安全,整体认为是处在一个风险和关注度都比较高的状态。可预见的是在接下来的一段时间风险还会持续。想要高效的去解决这些风险,核心依赖的是能够支撑各个场景的这种检测和修复的工具,以及说像漏洞组件这样丰富的知识库数据。在 IOT 领域,尤其需要关注风险的前置解决,否则整个治理的效果效率会比较低,成本也会比较高。...
Kata Containers 2.0 的进击之路
金融级分布式架构
07-27 1065
Kata Containers 开源项目于2017年底正式启动,其目标是将虚拟机(VM)的安全优势与容器的高速及可管理性相结合,为用户带来出色的容器解决方案。该项目在过去两年取得了哪些进...
英伟达假卡检测工具.zip
12-12
英伟达假卡检测工具是一套专为检测英伟达(NVIDIA)显卡真实性而设计的应用程序集合。这个压缩包包含几个不同的批处理文件和一个可执行程序,旨在帮助用户确认他们的NVIDIA显卡是否是真正的原厂产品,避免购买到假冒...
英伟达烧写工具.rar
03-05
英伟达(NVIDIA)烧写工具是一款专为NVIDIA设备设计的软件,主要用于将系统镜像烧录到存储设备上,如SD卡或microSD卡。这个工具在开发板、嵌入式系统以及物联网(IoT)应用中非常常见,因为它们往往需要将操作系统或者...
英伟达
02-14
【标题】: 英伟达 (NVIDIA) 在IT领域,英伟达(NVIDIA)是一家全球知名的技术公司,以其高性能的图形处理器(GPU)而闻名。NVIDIA始于1993年,由黄仁勋、克里斯·马拉科夫斯基和杰弗里·卡普兰共同创立,其初衷是...
NVIDIA 英伟达 显卡 dp接口 进bios不显示 修复工具
08-17
NVIDIA 英伟达 显卡 dp接口 进bios不显示 修复工具
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1291
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
项目管理-信息技术发展
GAVIN
10-04 616
对称加密:DES 3DES AES RC5 IEDA SM1 SM4。2)分类:PAN LAN MAN WAN 公用网 专用网。4)数据结构模型 层次模型 网状模型 关系模型。1)存储 分类:DAS FAS NAS SAN。物联网(IoT) 感知层 网络层 应用层。8) 5G 高速率 低时延 大连接。设备安全 数据安全 内容安全 行为安全。4.信息安全 保密性 完整性 可用性。3)网络协议 语法 语义 时许。5)IEEE 802 规范。6)TCP/IP 协议。4)网络标准协议 7层。
Mac ToDesk 无法连接网络
最新发布
Primer5
10-04 273
检查登录项,看到后台运行项目是关闭状态,允许后台运行之后返回查看立马显示网络连接正常。网络连接的是 Wi-Fi,打开浏览器能跟正常浏览内容,说明 Wi-Fi 是正常的。检查防火墙是没有阻止ToDesk 的任何连接,说明防火墙也是正常的。
使用socket编程来实现一个简单的C/S模型(TCP协议)
caiji0169的博客
10-02 1712
下图是基于TCP协议的客户端/服务器程序的一般流程:服务器调用socket()、bind()、listen()完成初始化后,调用accept()阻塞等待,处于监听端口的状态,客户端调用socket()初始化后,调用connect()发出SYN段并阻塞等待服务器应答,服务器应答一个SYN-ACK段,客户端收到后从connect()返回,同时应答一个ACK段,服务器收到后从accept()返回。数据传输的过程:建立连接后,TCP协议提供全双工的通信服务,但是一般的客户端/服务器程序的流程是由客户端主动发起请求,
从零开始实现RPC框架---------项目介绍及环境准备
qq_41934502的博客
10-02 443
从零开始实现rpc架构项目介绍
非root权限安装英伟达显卡驱动
06-07
非root权限安装英伟达显卡驱动的具体步骤如下: 1. 下载适用于当前操作系统和显卡型号的英伟达显卡驱动程序,可以从英伟达官网下载。 2. 将驱动程序复制到非root用户的home目录或其他可读写的目录下。 3. 打开终端,进入到驱动程序所在目录,将驱动程序赋予执行权限: ``` chmod +x NVIDIA-Linux-x86_64-xxx.xx.run ``` 其中,NVIDIA-Linux-x86_64-xxx.xx.run为驱动程序的文件名。 4. 关闭图形界面,切换到命令行界面。可以通过按下Ctrl+Alt+F1来进入命令行界面。 5. 在命令行界面中,使用非root用户身份执行以下命令,以安装英伟达显卡驱动: ``` ./NVIDIA-Linux-x86_64-xxx.xx.run ``` 驱动程序会自动进行安装,并提示是否自动配置Xorg.conf文件。如果你不确定,请选择自动配置。 6. 安装完成后,重启计算机,即可生效。 注意:安装驱动程序需要root权限,因此需要在安装前先获取root权限。如果你无法获取root权限,请联系系统管理员。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值