NVIDIA ha identificado y abordado varias vulnerabilidades críticas en su herramienta de gestión de contenedores, NVIDIA Container Toolkit (CTK), una plataforma ampliamente utilizada para contenedores acelerados por GPU. La explotación de estas fallas podría comprometer la seguridad de los entornos donde se implementan contenedores acelerados, afectando tanto a los desarrolladores como a las organizaciones que dependen de GPU para aplicaciones de alta demanda.
- CVE-2024-0132 (CVSS 9.0): Esta vulnerabilidad crítica de Tiempo de Verificación y Tiempo de Uso (TOCTOU) permite que una imagen de contenedor especialmente diseñada explote la configuración predeterminada de NVIDIA Container Toolkit. Si se explota con éxito, un atacante podría obtener acceso no autorizado al sistema de archivos del host, lo que podría llevar a ejecuciones de código arbitrario, escalada de privilegios, ataques de denegación de servicio (DoS), divulgación de información y manipulación de datos. Cabe destacar que los casos de uso que emplean la interfaz de dispositivo de contenedor (CDI) no se ven afectados por esta vulnerabilidad.
- CVE-2024-0133 (CVSS 4.1): Esta vulnerabilidad de menor severidad permite que una imagen de contenedor creada manualmente genere archivos vacíos en el sistema de archivos del host, lo que resulta en manipulación de datos. Al igual que en la primera vulnerabilidad, los casos de uso de CDI no se ven afectados.
Productos y versiones afectadas:
- NVIDIA Container Toolkit: versiones hasta la 1.16.1.
- Operador de GPU NVIDIA: versiones anteriores a la 24.6.2.
Solución:
- Actualizar NVIDIA Container Toolkit a la versión 1.16.2
- Operador de GPU NVIDIA a la versión 24.6.2.
Recomendaciones:
- Implementar lo antes posible las últimas actualizaciones y parches proporcionados por el proveedor para mitigar los riesgos potenciales.
- Monitorear los entornos afectados en busca de indicios de explotación de estas fallas.
Referencias: