NVIDIA ha lanzado actualizaciones de seguridad de software que solventan 2 vulnerabilidades con severidad alta, una de estas afecta a sus placas informáticas de la serie Jetson y podría permitir la denegación de servicio (DoS), la ejecución de código y la escalada de privilegios en sistemas impulsados por IA.
- La primera vulnerabilidad, identificada como CVE-2024-0101, tiene una puntuación CVSS alta de 7,5 y podría provocar ataques de denegación de servicio (DoS). Esta falla existe en el componente ipfilter, lo que potencialmente permite a un atacante desencadenar ataques de denegación de servicio en operaciones de conmutación de red mediante la explotación de definiciones de ipfilter incorrectas.
- La segunda vulnerabilidad, identificada como CVE‑2024-0108, con una puntuación CVSS alta de 8,7 presenta una falla en el componente NvGPU de Jetson Linux e implica un fallo en las rutas de manejo de errores del código de la unidad de administración de memoria de la GPU para limpiarse después de un intento de mapeo fallido. Esta falta de limpieza puede generar errores e inestabilidad que podrían ser aprovechados por los atacantes para desencadenar ataques de denegación de servicio (DoS), ejecutar código o escalar privilegios en el sistema afectado.
NVIDIA reveló esta falla en el componente Jetson Linux de su kit de desarrollo de software (SDK) JetPack, que impulsa sus dispositivos Jetson, incluidos NVIDIA Jetson AGX Xavier Series, Jetson Xavier NX, Jetson TX1, Jetson TX2 Series y Jeston Nano.
Los dispositivos de la serie NVIDIA Jetson se utilizan en una amplia gama de aplicaciones de inteligencia artificial y robótica , como la fabricación, la atención médica, la agricultura, el transporte, las ciudades inteligentes y más. Por ejemplo, el NVIDIA Jetson Xavier NX potencia los sistemas de visión artificial para vehículos y dispositivos médicos, y el compacto NVIDIA Jetson Nano habilita las capacidades de inteligencia artificial en pequeños dispositivos de Internet de las cosas (IoT).
Productos, versiones afectadas y corregidas:
La siguiente tabla enumera los productos NVIDIA afectados, las versiones afectadas y la versión actualizada.
Identificadores CVE abordados | Productos afectados | Plataforma o sistema operativo | Versiones afectadas | Versión actualizada |
CVE‑2024-0108 | NVIDIA Jetson AGX Xavier series, Jetson Xavier NX, Jetson TX2 series, Jetson TX2 NX, Jetson TX1, Jetson Nano series | Jetson Linux | Todas las versiones anteriores a la 32.7.4 inclusive | 32.7.5 |
CVE‑2024-0101 | Mellanox OS | Mellanox OS | Todas las versiones anteriores a la 3.11.1000 inclusive | 3.11.2002 |
ONYX | ONYX LTS | Todas las versiones anteriores a la 3.10.4300 inclusive | 3.10.4402 | |
Skyway | Skyway | Todas las versiones anteriores a la 8.2.1000 inclusive | 8.2.2000 | |
Skyway LTS | Todas las versiones anteriores a la 8.1.4300 inclusive | 8.1.4400 | ||
MetroX-3 XC | MetroX | Todas las versiones anteriores a la 18.2.1000 inclusive | 18.2.2000 | |
MetroX-2 | MetroX | Todas las versiones anteriores a la 3.11.1000 inclusive | 3.11.2002 |
Recomendaciones:
- Aplicar lo antes posible las actualizaciones mencionadas para mitigar los riesgos potenciales.
- Monitorizar los sistemas para detectar cualquier actividad sospechosa posterior a la actualización.
- Evaluar regularmente la seguridad de todos los dispositivos NVIDIA para asegurar que estén protegidos contra futuras vulnerabilidades.
Referencias: