BDU:2025-08697
NVIDIA Corp., ООО «Ред Софт» NVIDIA GPU Operator, NVIDIA Container Toolkit, РЕД ОС
2025-05-17
Уязвимость функции enable-cuda-compat программного обеспечения для создания и запуска контейнеров NVIDIA Container Toolkit и программного средства для управления ресурсами NVIDIA GPU Operator связана с использованием ненадёжного пути поиска. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код, повысить свои привилегии, получить несанкционированный доступ на чтение и изменение защищаемой информации или вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций производителя: https://nvidia.custhelp.com/app/answers/detail/a_id/5659
Компенсирующие меры: В случае невозможности установки обновления рекомендуется в режиме NVIDIA Container Runtime отредактировать файл /etc/nvidia-container-toolkit/config.tom, установив значение true: [features] disable-cuda-compat-lib-hook = true
Для NVIDIA GPU Operator: Следует добавить значение disable-cuda-compat-lib-hook к переменной NVIDIA_CONTAINER_TOOLKIT_OPT_IN_FEATURES: --set "toolkit.env[0].name=NVIDIA_CONTAINER_TOOLKIT_OPT_IN_FEATURES" \ --set "toolkit.env[0].value=disable-cuda-compat-lib-hook" Любые другие требуемые флаги функций должны быть разделены запятыми в флаге --set "toolkit.env[0].value” .
При использовании версии GPU Operator до 25.3.1 можно развернуть NVIDIA Container Toolkit 1.17.8, включив следующие аргументы при установке или обновлении GPU Operator с помощью Helm: --set "toolkit.version=v1.17.8-ubuntu20.04" Для Red Hat Enterprise Linux или Red Hat OpenShift необходимо указать тег v1.17.8-ubi8.