NVIDIA, popüler Tensorrt-LLM çerçevesinde önemli bir güvenlik açığı (CVE-2025-23254) keşfettikten sonra acil bir güvenlik danışmanı yayınladı ve tüm kullanıcıları potansiyel saldırılara karşı sistemlerini korumak için tüm kullanıcıları en son sürüme (0.18.2) güncellemeye çağırdı.
Güvenlik açığına genel bakış
CVE-2025-23254 olarak tanımlanan güvenlik açığı, Windows, Linux ve macOS platformlarında 0.18.2’den önce NVIDIA Tensorrt-LLM çerçevesinin tüm sürümlerini etkiler.
| CVE kimliği | Etkilenen platformlar | Etkilenen sürümler | Güncellenmiş sürüm | Şiddet | Potansiyel etki |
| CVE-2025-23254 | Windows, Linux, MacOS | Tüm <0.18.2 | 0.18.2 | Yüksek (8.8) | Kod yürütme, bilgi açıklaması, veri kurcalama |
Kusur, özellikle Python turşu modülünün serileştirme ve serileştirme için kullanıldığı Tensorrt-LLM’nin Python yürütücü bileşeninde bulunur.
.png
)
Bu işlem, uygunsuz bir şekilde güvence altına alınırsa, yerel erişimi olan saldırganların keyfi kötü amaçlı kod yürütmesi, verilere kurcalama veya hassas bilgiler çıkarması için kapıyı açabilir.
Güvenlik açığı, ortak güvenlik açığı skorlama sisteminde (CVSS v3.1) 10 üzerinden 8,8 puan alır ve bu da yüksek şiddetli bir tehdit olarak işaretler.
Altta yatan teknik risk, “güvenilmeyen verilerin sazizleşmesi” anlamına gelen CWE – 502 kapsamında kategorize edilmiştir.
NVIDIA, Tensorrt-LLM’nin hem ana hem de serbest bırakma dallarında IPC kanalı için varsayılan olarak HMAC (karma tabanlı mesaj kimlik doğrulama kodu) şifrelemesini sağlayan bir güvenlik güncellemesi yayınlayarak yanıt verdi.
Bu geliştirme, tüm serileştirilmiş iletişimlerin şifrelenmesini ve doğrulanmasını sağlar ve yetkisiz kod yürütülmesini önler.
Kullanıcılar, kaynak kodu parametrelerini değiştirerek bu özelliği manuel olarak devre dışı bırakabilirken (ilgili Python dosyalarında use_hmac_encryption = false ayarlama), NVIDIA, güvenlik açığını yeniden tanıttığı için buna karşı şiddetle tavsiyelerde bulunur.
Korumaya devam etmek için:
- Resmi GitHub sürüm sayfasından 0.18.2 veya daha sonraki Tensorrt-LLM sürümünü derhal güncelleyin.
- Daha önceki yazılım dallarını kullanıyorsanız, en son desteklenen sürüme yükseltin.
Güvenlik açığı Oligo Security’den Avi Lumelsky tarafından sorumlu bir şekilde bildirildi. NVIDIA, kullanıcıları en son güvenlik bültenleri, güncellemeler için ürün güvenliği sayfasını ziyaret etmeye ve bildirimlere abone olmaya teşvik eder.
Bu güvenlik sorunu, üretim veya araştırma ortamlarında NVIDIA’nın Tensorrt-LLM çerçevesini kullanan herhangi bir kuruluş veya birey için kritik öneme sahiptir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!