[TLP:CLEAR] NVIDIA opravuje 2 zranitelnosti v produktech NVIDIA Container Toolkit a GPU Operator
NVIDIA opravuje 2 zranitelnosti v produktech NVIDIA Container Toolkit verzí 1.17.8 a GPU Operator verzí 25.3.1. V případě, že není možné provést aktualizaci, lze dopad zranitelnosti zmírnit vypnutím hooku 'enable-cuda-compat' [1].
Autentizovanému útočníkovi v lokální síti je kvůli zranitelnosti v některých funkcích používaných k inicializaci kontejneru v NVIDIA Container Toolkitu umožněno spustit libovolný kód s vyššími oprávněními. Tím může dojít k eskalaci oprávnění, manipulaci s daty, úniku informací nebo k odepření služby [1].
Zranitelnost se nachází v produktech:
- NVIDIA Container Toolkit ve verzích <1.17.8
- NVIDIA GPU Operator ve verzích <25.3.1
CVSS: CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-23266 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-426: Untrusted Search Path at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 7. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli zranitelnosti v hooku 'update-ldcache' v NVIDIA Container Toolkitu umožněno zneužít sledování symbolických odkazů pomocí speciálně upraveného kontejnerového obrazu, což může vést k manipulaci s daty a odepření služby [1].
Zranitelnost se nachází v produktech:
- NVIDIA Container Toolkit ve verzích <1.17.8
- NVIDIA GPU Operator ve verzích <25.3.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:H
Více informací:
- CVE-2025-23267 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-59: Improper Link Resolution Before File Access ('Link Following') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 7. 2025.
Za CESNET-CERTS Michaela Jarošová dne 18. 7. 2025.
