輝達旗下2工具存在「嚴重風險」 漏洞修補程式釋出

雲端安全軟體公司Wiz研究人員發現，輝達旗下的Container Toolkit與GPU Operator中存在的重大漏洞（CVE-2024-0132），對AI應用及雲端環境的安全構成「嚴重風險」，此漏洞已經影響了超過三分之一的雲端環境。

編譯／莊閔棻

雲端安全軟體公司Wiz研究人員發現，輝達旗下的Container Toolkit與GPU Operator中存在的重大漏洞（CVE-2024-0132），對AI應用及雲端環境的安全構成「嚴重風險」，此漏洞已經影響了超過三分之一的雲端環境，尤其對依賴GPU支持的容器化AI應用帶來潛在威脅。不過，輝達方面已經發布了漏洞修補程式，建議使用者立即進行更新。

超過35%的雲端環境面臨風險

據報導，Wiz研究人員指出，此漏洞影響所有使用輝達Container Toolkit、提供GPU資源的AI App，無論是在雲端還是內部部署的系統中運行，由於Container Toolkit的廣泛使用，估計全球超過35%的雲端環境處於脆弱狀態。

更多新聞：陸企尋求輝達替代品 華為力推新 AI 晶片

敏感數據與基礎設施恐有威脅

根據研究報告，該漏洞可能讓攻擊者從受影響的容器（Container）映像檔中逃脫，獲取對底層主機系統的完全控制權，這對敏感數據及基礎設施構成了嚴重威脅，輝達已將該漏洞的嚴重性評分為9.0（滿分為10.0）。截至目前，輝達在9月25日發布的安全公告及Wiz隨後一天的部落格中，均未提及該漏洞是否已被實際利用，研究人員表示，為給受影響的組織留出時間來修補漏洞，暫時不公開漏洞的利用方式。

輝達已發布漏洞修補程式

據了解，輝達已針對該漏洞發布修補程式，適用於Container Toolkit v1.16.2和GPU Operator 24.6.2版本，Wiz研究人員強烈建議大家，運行這些工具的組織立即進行更新，尤其是那些使用來自不受信任來源映像的主機，更應優先處理。

研究人員給出修補優先級建議

Wiz建議，運行時的驗證可幫助確定修補的優先次序，以便將修補工作集中在確實使用該工具包的實例上，最終，修補漏洞的緊迫性取決於組織環境的架構，及對運行映像的信任程度，特別是允許第三方容器映像檔或AI模型的環境，由於漏洞可能透過惡意映像被利用，面臨的風險更高。

參考資料：CRN

※探索職場，透視薪資行情，請參考【科技類-職缺百科】幫助你找到最適合的舞台！

這篇文章 輝達旗下2工具存在「嚴重風險」 漏洞修補程式釋出 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。