Kritieke Nvidia-bug tast containers aan

container

Nvidia waarschuwt voor een kritieke kwetsbaarheid in zijn Container Toolkit die cloudomgevingen ernstig kan aantasten.

CVE-2024-0132 krijgt een CVSS-score van negen op tien. Nvidia deelde afgelopen woensdag een bulletin met meer informatie over de kwetsbaarheid. Die treft alle versies van de Container Toolkit tot en met versie 1.16.1. Het betreft een Time-of-check-time-of-use-kwetsbaarheid.

Met een specifiek ontworpen containerimage kan kwaadwillige software ‘ontsnappen’ uit een container en toegang krijgen tot het hostsysteem, schrijft Nvidia. Een succesvolle uitbuiting van de kwetsbaarheid kan leiden tot code-uitvoering, denial of service, escalatie van rechten, openbaarmaking van informatie en geknoei met gegevens. Dit heeft geen invloed op gebruikssituaties waarbij CDI wordt gebruikt.

Besmette containers

Volgens beveiligingsbedrijf Wiz zou minstens één op drie cloudomgevingen die Nvidia Container Toolkit draaien kwetsbaar zijn. In een single-tenant-omgeving moet een aanvaller het slachtoffer overtuigen om de kwaadaardige image te installeren op diens workstation.

Het risico op uitbuiting is echter groter voor gedeelde cloudomgevingen die containerimages van derde partijen toelaten. De aanvaller krijgt dan veel meer vrijheid om andere applicaties binnen de cluster te besmetten.

Patch beschikbaar

Een patch is beschikbaar en zoals bij iedere kwetsbaarheid is het aan te raden die zo snel mogelijk door te voren. Nvidia Container Toolkit versie v.1.16.2 dicht het lek, alsook een minder kritieke kwetsbaarheid (CVE-2024-0133). Het is daarnaast ook aangewezen om Nvidia GPU Operator bij te werken naar versie 24.6.2.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.