Schlupfloch geschlossen in Nvidia Container Toolkit und GPU Operator
- Warnmeldung
© Adobe Stock
Vollständige Kompromittierung möglich
Die kritische Schwachstelle CVE-2024-0132 ist eine sogenannte TOCTOU-Schwachstelle (Time-of-check Time-of-Use). Mit einem speziell präparierten Container-Image können Angreifende auf das Host-Dateisystem zugreifen und Systeme vollständig kompromittieren. Auswirkungen können im Einzelnen sein: Ausführen von (Schad-)Code, DoS, Rechteerweiterung sowie Datenabfluss und -manipulation.
Betroffen sind folgende Versionen:
- Container Toolkit: alle Versionen bis einschließlich 1.16.1
- GPU Operator: alle Versionen bis einschließlich 24.6.1
Das CTK aktiviert unter den Linux-Betriebssystemen Ubuntu und Red Hat Enterprise die Unterstützung für Grafikprozessoren in Docker-Containern. Der GPU Operator nutzt das Operator-Framework in Kubernetes, um die Verwaltung der Nvidia-Softwarekomponenten zu automatisieren, die für die Bereitstellung des Grafikprozessors erforderlich sind.
Nvidia entwickelt Grafikprozessoren und Chipsätze für Personal-Computer, Server und Spielkonsolen. Hauptsitz ist in Santa Clara in Kalifornien.
Empfehlungen
Der Hersteller empfiehlt, Container Toolkit auf die Version 1.16.2 und GPU Operator auf die Version 24.6.2 zu aktualisieren.