Schlupfloch geschlossen in Nvidia Container Toolkit und GPU Operator

- Warnmeldung

Der Hersteller Nvidia schloss in seinen beiden Produkten Container Toolkit (CTK) und GPU Operator eine kritische Schwachstelle. Kunden sollten die Produkte baldmöglichst aktualisieren.
Gelbe Warnleuchten

© Adobe Stock

Vollständige Kompromittierung möglich

Die kritische Schwachstelle CVE-2024-0132 ist eine sogenannte TOCTOU-Schwachstelle (Time-of-check Time-of-Use). Mit einem speziell präparierten Container-Image können Angreifende auf das Host-Dateisystem zugreifen und Systeme vollständig kompromittieren. Auswirkungen können im Einzelnen sein: Ausführen von (Schad-)Code, DoS, Rechteerweiterung sowie Datenabfluss und -manipulation. 

Betroffen sind folgende Versionen:

  • Container Toolkit: alle Versionen bis einschließlich 1.16.1
  • GPU Operator: alle Versionen bis einschließlich 24.6.1

Das CTK aktiviert unter den Linux-Betriebssystemen Ubuntu und Red Hat Enterprise die Unterstützung für Grafikprozessoren in Docker-Containern. Der GPU Operator nutzt das Operator-Framework in Kubernetes, um die Verwaltung der Nvidia-Softwarekomponenten zu automatisieren, die für die Bereitstellung des Grafikprozessors erforderlich sind.

Nvidia entwickelt Grafikprozessoren und Chipsätze für Personal-Computer, Server und Spielkonsolen. Hauptsitz ist in Santa Clara in Kalifornien.

Empfehlungen

Der Hersteller empfiehlt, Container Toolkit auf die Version 1.16.2 und GPU Operator auf die Version 24.6.2 zu aktualisieren.