NVIDIA, vGPU yazılımı için, potansiyel olarak ciddi güvenlik ihlallerine yol açabilecek çok sayıda güvenlik açığını gideren kritik bir güvenlik güncellemesi yayınladı.
GPU çekirdek sürücüsünde ve Sanal GPU Yöneticisinde CVE-2024-0127 ve CVE-2024-0128 olarak tanımlanan güvenlik açıkları, desteklenen tüm hipervizörleri etkileyen güvenlik açıkları bulundu.
Ayrıca bugün, Windows ve Linux sistemlerinde uzaktan kod yürütmeye, ayrıcalık yükseltmeye ve diğer ciddi risklere olanak verebilecek güvenlik açıklarını düzeltmek amacıyla GPU Görüntü Sürücüsü için NVIDIA’nın kritik güvenlik güncellemesini de bildirdik.
Temel Güvenlik Açıkları
- CVE-2024-0127: Bu güvenlik açığı vGPU Yöneticisinin GPU çekirdek sürücüsünde bulunmaktadır. Konuk işletim sistemi kullanıcısının uygunsuz giriş doğrulamasından yararlanmasına olanak tanır ve bu durum potansiyel olarak kod yürütmeye, ayrıcalık yükseltmeye, verilere müdahale etmeye, hizmet reddine ve bilgilerin ifşa edilmesine yol açar. Yüksek şiddet olarak derecelendirilen 7,8 temel puanı vardır.
- CVE-2024-0128: Sanal GPU Yöneticisi’nde bulunan bu güvenlik açığı, konuk işletim sistemi kullanıcısının küresel kaynaklara erişmesine olanak tanıyarak bilgilerin açığa çıkması ve ayrıcalıkların yükseltilmesi riskiyle karşı karşıya kalır. 7,1 temel puana sahiptir ve aynı zamanda Yüksek olarak derecelendirilmiştir.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
Etkilenen Yazılımlar ve Güncellemeler
Güvenlik açıkları farklı işletim sistemlerindeki çeşitli bileşenleri etkiliyor:
vGPU Yazılım Bileşenleri
| Ele Alınan CVE’ler | Bileşen | İşletim Sistemi | Etkilenen Sürümler | Güncellenmiş Sürüm |
|---|---|---|---|---|
| CVE‑2024‑0117’den CVE‑2024‑0121’e | Konuk sürücü | Windows | 17,3’e (552,74) ve 16,7’ye (538,78) kadar | 17,4 (553,24) ve 16,8 (538,95) |
| Yok | Konuk sürücü | Linux | 17,3’e (550.90.07) ve 16,7’ye (535.183.06) kadar | 17,4 (550.127.05) ve 16,8 (535.216.01) |
| CVE‑2024‑0126’dan CVE‑2024‑0128’e | Sanal GPU Yöneticisi | Citrix Hypervisor, VMware vSphere, Red Hat Enterprise Linux KVM, Ubuntu | 17,3’e (550.90.05) ve 16,7’ye (535.183.04) kadar | 17,4 (550.127.06) ve 16,8 (535.216.01) |
| CVE‑2024‑0126’dan CVE‑2024‑0128’e | Sanal GPU Yöneticisi | Azure Yığın HCI | 17,3’e (552,55) kadar | 17,4 (553,20) |
vGPU Yazılım Bileşenleri
- Windows için Konuk Sürücü: 17.3 ve 16.7’ye kadar olan sürümler için güncellemeler mevcuttur.
- Linux için Konuk Sürücü: 17.3 ve 16.7’ye kadar olan sürümler için güncellemeler mevcuttur.
- Sanal GPU Yöneticisi: Citrix Hypervisor, VMware vSphere, Red Hat Enterprise Linux KVM, Ubuntu ve Azure Stack HCI için güncellemeler gereklidir.
Bulut Oyun Yazılımı
| Ele Alınan CVE’ler | Bileşen | İşletim Sistemi | Etkilenen Sürümler | Güncellenmiş Sürüm |
|---|---|---|---|---|
| CVE‑2024‑0117’den CVE‑2024‑0121’e | Konuk sürücü | Windows | Eylül 2024 sürümüne kadar (560,94) | Ekim 2024 Sürümü (566,03) |
| Yok | Konuk sürücü | Linux | Eylül 2024 sürümüne kadar (560.35.03) | Ekim 2024 Sürümü (565.57.01) |
| CVE‑2024‑0126’dan CVE‑2024‑0128’e | Sanal GPU Yöneticisi | Red Hat Enterprise Linux KVM, VMware vSphere | Eylül 2024 sürümüne kadar (560.35.03) | Ekim 2024 Sürümü (565.57.01) |
Windows ve Linux için Konuk Sürücü: Eylül 2024 sürümüne kadar tüm sürümler için güncellemeler gereklidir.
Azaltmalar ve Öneriler
Bu güvenlik açıklarını azaltmak için NVIDIA, kullanıcıların en son güncellemeleri NVIDIA Lisanslama Portalı aracılığıyla indirmelerini önerir. Kullanıcıların ayrıca etkilenebilecek önceki şube sürümlerini yükseltmeleri de teşvik edilir.
NVIDIA, çeşitli güvenlik açıklarını (CVE‑2024‑0117’den CVE‑2024‑0121’e kadar) bildirdiği için Cisco Talos’tan Piotr Bania’ya ve CVE‑2024‑0126 için Maxim Mints ve Austin Herring’e teşekkür eder.
Bu güncellemeler hakkında daha ayrıntılı bilgi almak veya olası güvenlik sorunlarını bildirmek için NVIDIA Ürün Güvenliği sayfasını ziyaret edin.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!