NVIDIA ha lanzado actualizaciones de seguridad críticas para su software vGPU para abordar múltiples vulnerabilidades que podrían provocar graves violaciones de seguridad.
Las vulnerabilidades, identificadas como CVE-2024-0127 y CVE-2024-0128, se encuentran en los controladores del kernel de GPU y en los administradores de GPU virtuales y afectan a todos los hipervisores compatibles.
Hoy también informamos importantes actualizaciones de seguridad para los controladores de pantalla GPU de NVIDIA, solucionando vulnerabilidades que podrían permitir la ejecución remota de código, escalada de privilegios y otros riesgos graves en sistemas Windows y Linux.
Vulnerabilidades clave
CVE-2024-0127: Esta vulnerabilidad existe en el controlador del kernel de GPU de vGPU Manager. Esto permite a los usuarios del sistema operativo invitado explotar una validación de entrada incorrecta, lo que podría provocar la ejecución de código, escalada de privilegios, modificación de datos, denegación de servicio y divulgación de información. La puntuación base es 7,8 y la gravedad se considera alta. CVE-2024-0128: esta vulnerabilidad, descubierta en Virtual GPU Manager, permite a los usuarios del sistema operativo invitado acceder a recursos globales, lo que podría provocar la divulgación de información y una escalada de privilegios. La puntuación base es 7,1, calificada como Alta.
Proteja su red y sus terminales con Under Defense MDR: solicite una demostración gratuita
Software afectado y actualizaciones
Esta vulnerabilidad afecta a diferentes componentes de diferentes sistemas operativos.
Componentes de software vGPU
Componentes compatibles con CVE SO Versiones afectadas Versiones actualizadas CVE-2024-0117 a CVE-2024-0121 Controladores invitados Windows 17.3 (552.74) y 16.7 (538.78) a 17.4 (553.24) y 16.8 (538.95) N/A Controladores invitados Linux 17.3 (550.90) .07) y 16.7 (535.183.06) 17.4 (550.127.05) y 16.8 (535.216.01) CVE – 2024-0126 a CVE – 2024-0128Virtual GPU Manager, VMware vsphere, Red Hat Enternylinux KVM, 16.3 ( 5 (550.90.05) 535.183.04)17.4 (550.127.06) y 16.8 (535.216.01)CVE-2024-0126 a CVE-2024-0128 Virtual GPU Manager Azure Stack HCI Max 17.3 (552.55)17.4 (55 3.20)
Componentes de software vGPU
Controladores invitados para Windows: hay actualizaciones disponibles para las versiones hasta 17.3 y 16.7. Controladores invitados para Linux: hay actualizaciones disponibles para las versiones hasta 17.3 y 16.7. Administradores de GPU virtuales: Citrix Hypervisor, VMware vSphere, Red Hat Enterprise Linux KVM, Ubuntu y Azure Stack HCI requieren actualizaciones.
software de juegos en la nube
Componentes CVE correspondientes Versiones afectadas del sistema operativo Versiones actualizadas CVE-2024-0117 a CVE-2024-0121 Controladores invitados Windows hasta la versión de septiembre de 2024 (560.94) Versión de octubre de 2024 (566.03) N/A Controladores invitados Linux Septiembre de 2024 hasta la versión (560.35.03) )Versión de octubre de 2024 (565).57.01)CVE -2024-0126 a CVE-2024-0128 Virtual GPU Manager Red Hat Enterprise Linux KVM, VMware vSphere Hasta septiembre de 2024 Versión (560.35.03) Versión de octubre de 2024 (565.57.01)
Controladores invitados para Windows y Linux: se requiere actualización para todas las versiones hasta la versión de septiembre de 2024.
Medidas de mitigación y recomendaciones.
Para mitigar estas vulnerabilidades, NVIDIA recomienda a los usuarios descargar las últimas actualizaciones desde el Portal de licencias de NVIDIA. También se recomienda a los usuarios que actualicen cualquier versión anterior que pueda verse afectada.
NVIDIA quisiera agradecer a Piotr Bania de Cisco Talos por informar varias vulnerabilidades (CVE-2024-0117 a CVE-2024-0121), y a Maxim Mints y Austin Herring por CVE-2024-0126.
Para obtener más información sobre estas actualizaciones o para informar un posible problema de seguridad, visite la página de seguridad del producto NVIDIA.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
