NVIDIA раскрывает приложения, подверженные уязвимости Log4j

6
Nvidia - FAQ - HOW TO - советы, инструкции, рекомендации

NVIDIA выпустила рекомендации по безопасности, в которых подробно описывается, какие продукты подвержены уязвимости Log4Shell, которая в настоящее время используется в широком спектре атак по всему миру.

После тщательного расследования NVIDIA пришла к выводу, что уязвимости Log4j не затрагивают следующие продукты:

  • Клиентское программное обеспечение GeForce Experience
  • Клиентское программное обеспечение GeForceNOW
  • Драйверы дисплея графического процессора для Windows
  • L4T Jetson Продукты
  • ЩИТ ТВ

Log4Shell влияние

Хотя потребительские приложения NVIDIA не затронуты, некоторые корпоративные приложения NVIDIA включают Apache Log4j и нуждаются в обновлении:

  • Версии Nsight Eclipse Edition ниже 11.0 уязвимы для CVE-2021-33228 и CVE-2021-45046 и исправлены в версии 11.0 или новее.
  • NetQ уязвим для CVE-2021-33228, CVE-2021-45046 и CVE-2021-45105 в версиях 2.x, 3.x и 4.0.x. Таким образом, пользователям рекомендуется обновиться до NetQ 4.1.0 или более поздней версии.
  • На сервер лицензий на программное обеспечение vGPU влияют CVE-2021-33228 и CVE-2021-45046 в версиях 2021.07 и 2020.05, обновление 1. В таких случаях рекомендуется следовать этому руководству по снижению рисков.

NVIDIA также предупреждает, что CUDA Toolkit Visual Profiler включает файлы Log4j, но приложение их не использует. В январе 2022 года выпущена обновленная версия для удаления этих файлов.

«Log4j включен в CUDA Toolkit. Однако он не используется, и нет никакого риска для пользователей, у которых есть файлы Log4j», — поясняется  в уведомлении о безопасности NVIDIA.

«Поскольку они не используются, готовится обновление для удаления файлов Log4j из CUDA Toolkit. При необходимости клиенты могут безопасно удалить файлы в качестве меры защиты».

Наконец, по умолчанию DGX Systems не поставляется с библиотекой Log4j, но NVIDIA предупреждает, что некоторые пользователи могли установить ее сами. В таких случаях пользователям рекомендуется обновить  библиотеку до  последней доступной версии или полностью удалить ее.

Расследование NVIDIA все еще продолжается и касается любых продуктов или услуг, которые не были указаны как затронутые или не затронутые в приведенных выше списках.

Напротив, другой крупный игрок на рынке графических процессоров, AMD, подтвердил, что  ни один из их продуктов не подвержен  эксплойту Log4shell.

К сожалению,  затронуты многие другие продукты, поэтому все организации должны провести полный аудит своего уязвимого программного обеспечения, особенно того, которое доступно в Интернете.

Однако даже уязвимые внутренние приложения нуждаются в обновлении, поскольку злоумышленники используют уязвимость Log4Shell для бокового распространения в сети для развертывания программ-вымогателей.

Обновление GeForce Experience

Несмотря на то, что NVIDIA не имеет отношения к Log4j, NVIDIA выпустила обновление безопасности  для программного обеспечения NVIDIA GeForce Experience, касающееся CVE-2021-23175 (оценка CVSS v3: 8,2).

Эта уязвимость представляет собой проблему с авторизацией пользователя, которая может привести к повышению привилегий, раскрытию информации, подделке данных и отказу в обслуживании.

Все версии до 3.24.0.126 подвержены этой серьезной уязвимости. Запуск программного обеспечения запускает автоматическое обновление.

GeForce Experience — это сопутствующее приложение, которое помогает пользователям обновлять драйверы графических процессоров, оптимизировать настройки игры и т. Д. Однако пользователи всегда могут получить обновления драйверов непосредственно с веб-сайта NVIDIA и установить их вручную.

Это означает, что если вы не используете приложение для повышения производительности в играх, вы можете безопасно удалить его из своей системы и на данный момент беспокоиться о безопасности на одну меньше.

Последнее обновление 3 месяца назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии