Исправлены опасные уязвимости повышения привилегий в серверах NVIDIA DGX

Компания NVIDIA выпустила обновление безопасности для серверов NVIDIA DGX-1, DGX-2 и DGX A100, устраняющее ряд уязвимостей во встроенном ПО AMI Baseboard Management Controller (BMC). Их эксплуатация позволяет злоумышленнику удаленно выполнить код, повысить привилегии на системе или раскрыть информацию. Для использования проблем преступникам требуется сетевой доступ к BMC сервера DGX.

В общей сложности было исправлено 9 уязвимостей. Самая опасная из них (CVE‑2020‑11483) получила оценку в 9,8 балла по шкале CVSS v3.1 и затрагивает прошивку AMI BMC серверов NVIDIA DGX. Проблема связана с тем, что прошивка содержит встроенные учетные данные, которые могут позволить повысить привилегии или раскрыть информацию.

Уязвимости были обнаружены специалистами Сергеем Гордейчиком, Романом Палкиным, Денисом Колеговым и Марией Самойловой (CVE‑2020‑11483, CVE‑2020‑11487, CVE‑2020‑11489, CVE‑2020‑11484, CVE‑2020‑11615, CVE‑2020‑11616, CVE‑2020‑11486, CVE‑2020‑11488 и CVE‑2020‑11485).

NVIDIA настоятельно рекомендует пользователям обновиться до последней версии ПО. В качестве мер по предотвращению эксплуатации рекомендуется ограничить возможность подключения к BMC, включая пользовательский web-интерфейс, доверенными сетями управления.