Nvidia, en ciddisi kritik olarak derecelendirilen 11 donanım yazılımı güvenlik açığı için düzeltmeler yayınladı.
Tavsiye belgesindeki üç kritik hata şunlardır: CVE-2023-31029 (CVSS puanı 9,3), CVE-2023-31030 (CVSS puanı 9,3) ve CVE-2023-31024 (CVSS puanı 9,0).
Bunların üçü de Nvidia’nın şirketin A100 Tensör çekirdeğini temel alan beş petaFLOPS AI sistemi olan DGX A100’ün temel kart yönetim denetleyicisindeki (BMC) klavye, video ve fare (KVM) arka plan programındaki hatalardır.
Her üç durumda da danışma belgesinde “kimliği doğrulanmamış bir saldırganın özel hazırlanmış bir ağ paketi göndererek yığın taşmasına neden olabileceği” belirtildi.
Bir istismar “keyfi kod yürütülmesine, hizmet reddine, bilgilerin ifşa edilmesine ve veri tahrifatına” yol açabilir.
Şirketin DGX H100 ve DGX A100 modellerindeki BMC, her ikisi de KVM hizmetinde olan CVE-2023-25529 ve CVE-2023-25530’a (her ikisi de CVSS 8.0) tabidir.
CVE-2023-25529, kullanıcının oturum belirtecinin olası bir sızıntısıdır; CVE-2023-25530 ise bir giriş doğrulama hatasıdır.
BMC hataları 22.00.00’dan önceki tüm sürümlerde mevcuttur.
1.25’ten önceki DGX A100 SBIOS sürümlerindeki düşük dereceli güvenlik açıkları için de düzeltmeler yayınlandı.