Hardwarefabrikant Nvidia heeft bijgewerkte stuurprogramma’s en beheersoftware uitgebracht om enkele risicovolle beveiligingslekken te dichten. De software-updates zijn beschikbaar voor zowel de grafische-kaartstuurprogramma’s als de GPU-beheersoftware voor servergebruik.
Kwetsbaarheden in grafische-kaartstuurprogramma’s en vGPU-software
Nvidia heeft alleen al 17 beveiligingslekken in het stuurprogramma van de grafische kaart gedicht. Hiervan tellen er zeven als hoog risico, acht als gemiddeld risico en twee als laag risico. Er is ook een kwetsbaarheid van gemiddeld risico gevonden in de vGPU-software. De ernstigste kwetsbaarheden zijn gevonden in het stuurprogramma voor Linux en de driver voor Windows, waarbij aanvallers onder andere geïnjecteerde code kunnen uitvoeren en hun privileges kunnen vergroten.
De ernstigste kwetsbaarheid in het Linux-stuurprogramma kan aanvallers in staat stellen geïnjecteerde code uit te voeren, hun privileges te vergroten, ongeautoriseerde toegang tot informatie te verkrijgen, gegevens te manipuleren of een denial of service te starten (CVE-2023-0189, CVSS 8.8, risico “hoog”). In de Windows-driver stelt de als net zo ernstig geclassificeerde kwetsbaarheid aanvallers in staat om privileges te escaleren, toegang te krijgen tot informatie, gegevens te wijzigen en ook een denial of service uit te voeren (CVE‑2023‑0184, CVSS 8.8 , hoog) . Beide kwetsbaarheden missen net de “kritieke” beoordeling.
Kwetsbaarheden in Data Center GPU Manager
In Nvidia’s Data Center GPU Manager (DCGM) voor het beheer van GPU’s in clusteromgevingen, konden aanvallers een heap-gebaseerde bufferoverflow veroorzaken en zo gegevens manipuleren of een denial of service activeren (CVE‑2023‑0208, CVSS 8.4 , high). Softwareversies vóór 3.1.7 zijn hiervoor vatbaar, schrijven de ontwikkelaars van Nvidia in een beveiligingsadvies.
Bugfixes beschikbaar voor download
Voor zowel Windows als Linux zijn bugfixes beschikbaar om de beveiligingslekken te dichten. IT-managers kunnen de bijgewerkte DCGM-softwareversie 3.1.7 of nieuwer verkrijgen via een andere Nvidia-website. Gebruikers wordt aangeraden hun software snel te updaten vanwege de ernst van de beveiligingslekken. Nvidia heeft in december vorig jaar ook al beveiligingslekken gedicht in de GPU-stuurprogramma’s.
Meer van dit soort nieuwtjes ontvangen? Schrijf je in voor de gratis nieuwsbrief: