В сентябре 2024 года обновление от NVIDIA, предназначенное для устранения критической уязвимости CVE-2024-0132 в NVIDIA Container Toolkit, оказалось неполным, как установила аналитическая группа Trend Research, что повышает риск компрометации данных и инфраструктуры.
Уязвимость CVE-2024-0132, оценённая на 9,0 по шкале CVSS v3.1, позволяет злоумышленникам использовать недостатки в обработке времени проверки и использования (TOCTOU), что может дать прямой доступ к файловой системе хоста через специально сконфигурированные контейнеры.
Затронутыми являются NVIDIA Container Toolkit версий 1.17.3 и ниже, а также версия 1.17.4 при включённой функции "allow-cuda-compat-libs-from-container"; уязвимость была рассмотрена и раскрыта под идентификатором ZDI-25-087.
Дополнительный анализ, проведённый в октябре 2024 года, выявил, что применённое обновление не устраняет полностью проблему, оставляя возможность атаки через создание специально подготовленного контейнера, что позволяет обойти изоляцию и получить доступ к критичным ресурсам хоста.
Отдельно обнаружена уязвимость отказа в
Изображение носит иллюстративный характер
Уязвимость CVE-2024-0132, оценённая на 9,0 по шкале CVSS v3.1, позволяет злоумышленникам использовать недостатки в обработке времени проверки и использования (TOCTOU), что может дать прямой доступ к файловой системе хоста через специально сконфигурированные контейнеры.
Затронутыми являются NVIDIA Container Toolkit версий 1.17.3 и ниже, а также версия 1.17.4 при включённой функции "allow-cuda-compat-libs-from-container"; уязвимость была рассмотрена и раскрыта под идентификатором ZDI-25-087.
Дополнительный анализ, проведённый в октябре 2024 года, выявил, что применённое обновление не устраняет полностью проблему, оставляя возможность атаки через создание специально подготовленного контейнера, что позволяет обойти изоляцию и получить доступ к критичным ресурсам хоста.
Отдельно обнаружена уязвимость отказа в
