NVIDIA lanza actualizaciones de seguridad para varios productos

NVIDIA ha lanzado actualizaciones de seguridad de software que solventan 2 vulnerabilidades con severidad alta, una de estas afecta a sus placas informáticas de la serie Jetson y podría permitir la denegación de servicio (DoS), la ejecución de código y la escalada de privilegios en sistemas impulsados ​​por IA.

  • La primera vulnerabilidad, identificada como CVE-2024-0101, tiene una puntuación CVSS alta de 7,5 y podría provocar ataques de denegación de servicio (DoS). Esta falla existe en el componente ipfilter, lo que potencialmente permite a un atacante desencadenar ataques de denegación de servicio en operaciones de conmutación de red mediante la explotación de definiciones de ipfilter incorrectas.
  • La segunda vulnerabilidad, identificada como CVE‑2024-0108, con una puntuación CVSS alta de 8,7 presenta una falla en el componente NvGPU de Jetson Linux e implica un fallo en las rutas de manejo de errores del código de la unidad de administración de memoria de la GPU para limpiarse después de un intento de mapeo fallido. Esta falta de limpieza puede generar errores e inestabilidad que podrían ser aprovechados por los atacantes para desencadenar ataques de denegación de servicio (DoS), ejecutar código o escalar privilegios en el sistema afectado.

NVIDIA reveló esta falla en el componente Jetson Linux de su kit de desarrollo de software (SDK) JetPack, que impulsa sus dispositivos Jetson, incluidos NVIDIA Jetson AGX Xavier Series, Jetson Xavier NX, Jetson TX1, Jetson TX2 Series y Jeston Nano.

Los dispositivos de la serie NVIDIA Jetson se utilizan en una amplia gama de aplicaciones de inteligencia artificial y robótica , como la fabricación, la atención médica, la agricultura, el transporte, las ciudades inteligentes y más. Por ejemplo, el NVIDIA Jetson Xavier NX potencia los sistemas de visión artificial para vehículos y dispositivos médicos, y el compacto NVIDIA Jetson Nano habilita las capacidades de inteligencia artificial en pequeños dispositivos de Internet de las cosas (IoT).

Productos, versiones afectadas y corregidas:

La siguiente tabla enumera los productos NVIDIA afectados, las versiones afectadas y la versión actualizada.

Identificadores CVE abordadosProductos afectadosPlataforma o sistema operativoVersiones afectadasVersión actualizada
CVE‑2024-0108NVIDIA Jetson AGX Xavier series, Jetson Xavier NX, Jetson TX2 series, Jetson TX2 NX, Jetson TX1, Jetson Nano seriesJetson LinuxTodas las versiones anteriores a la 32.7.4 inclusive32.7.5
CVE‑2024-0101Mellanox OSMellanox OSTodas las versiones anteriores a la 3.11.1000 inclusive3.11.2002
ONYXONYX LTSTodas las versiones anteriores a la 3.10.4300 inclusive3.10.4402
SkywaySkywayTodas las versiones anteriores a la 8.2.1000 inclusive8.2.2000
Skyway LTSTodas las versiones anteriores a la 8.1.4300 inclusive8.1.4400
MetroX-3 XCMetroXTodas las versiones anteriores a la 18.2.1000 inclusive18.2.2000
MetroX-2MetroXTodas las versiones anteriores a la 3.11.1000 inclusive3.11.2002

Recomendaciones:

  • Aplicar lo antes posible las actualizaciones mencionadas para mitigar los riesgos potenciales.
  • Monitorizar los sistemas para detectar cualquier actividad sospechosa posterior a la actualización.
  • Evaluar regularmente la seguridad de todos los dispositivos NVIDIA para asegurar que estén protegidos contra futuras vulnerabilidades.

Referencias: