【漏洞通告】NVIDIA多个安全漏洞
发布时间 2021-01-110x00 漏洞概述
NVIDIA是GPU(图形处理器)的发明者,也是人工智能计算的引领者。
2021年01月07日,NVIDIA发布了多个安全更新,本次更新修复了NVIDIA GPU显示驱动程序中的6个安全漏洞和vGPU管理软件中的10个安全漏洞,这些漏洞会影响Windows和Linux系统,最终导致拒绝服务、权限提升、数据篡改或信息泄露。
0x01 漏洞详情
本次共发布的16个安全漏洞中,其中有11个评级为高危,如下:
CVE ID | 描述 | 基本分数 | 产品 |
CVE‑2021‑1051 | 用于Windows的NVIDIA GPU显示驱动 | 8.4 | NVIDIA GPU |
CVE‑2021‑1052 | 适用于Windows和Linux的NVIDIA GPU显示驱动 | 7.8 | NVIDIA GPU |
CVE‑2021‑1053 | 适用于Windows和Linux的NVIDIA GPU显示驱动 | 6.6 | NVIDIA GPU |
CVE‑2021‑1054 | 适用于Windows的NVIDIA GPU显示驱动 | 6.5 | NVIDIA GPU |
CVE‑2021‑1055 | 适用于Windows的NVIDIA GPU显示驱动 | 5.3 | NVIDIA GPU |
CVE‑2021‑1056 | 用于Linux的NVIDIA GPU显示驱动程序在内核模式层( | 5.3 | NVIDIA GPU |
CVE‑2021‑1057 | NVIDIA vGPU管理器在vGPU插件中包含一个漏洞,该漏洞使访客可以分配一些未经访客授权的资源,这可能导致完整性和机密性丢失、拒绝服务或信息泄露。 | 7.8 | NVIDIA VGPU |
CVE‑2021‑1058 | NVIDIA vGPU软件在来宾内核模式驱动程序和vGPU插件中包含一个漏洞,在该漏洞中,未验证输入数据大小,这可能会导致数据篡改或拒绝服务。 | 7.8 | NVIDIA VGPU |
CVE‑2021‑1059 | NVIDIA vGPU管理器在vGPU插件中包含一个漏洞,该漏洞中的输入索引未经验证,这可能导致整数溢出,进而可能导致数据篡改、信息泄露或拒绝服务。 | 7.8 | NVIDIA VGPU |
CVE‑2021‑1060 | NVIDIA vGPU软件在来宾内核模式驱动程序和vGPU插件中包含一个漏洞,该漏洞中的输入索引未经验证,这可能导致数据篡改或拒绝服务。 | 7.8 | NVIDIA VGPU |
CVE‑2021‑1061 | NVIDIA vGPU管理器在vGPU插件中包含一个漏洞,在这种情况下,竞争状况可能导致vGPU插件继续使用之前经过验证的,已更改的资源,从而可能导致拒绝服务或信息泄露。 | 7.8 | NVIDIA VGPU |
CVE‑2021‑1062 | NVIDIA vGPU管理器在vGPU插件中包含一个漏洞,该漏洞中的输入数据长度未经验证,这可能导致数据篡改或拒绝服务。 | 7.8 | NVIDIA VGPU |
CVE‑2021‑1063 | NVIDIA vGPU管理器在vGPU插件中包含一个漏洞,该漏洞中的输入偏移未经过验证,这可能导致缓冲区溢出,进而导致数据篡改、信息泄露或拒绝服务。 | 7.8 | NVIDIA VGPU |
CVE‑2021‑1064 | NVIDIA vGPU管理器在vGPU插件中包含一个漏洞,其中该漏洞从不受信任的来源获取值,将该值转换为指针,然后取消对结果指针的引用,这可能导致信息泄露或拒绝服务。 | 7.8 | NVIDIA VGPU |
CVE‑2021‑1065 | NVIDIA vGPU Manager在vGPU插件中包含一个漏洞,该漏洞中的输入数据未经验证,这可能会导致数据篡改或拒绝服务。 | 7.8 | NVIDIA VGPU |
CVE‑2021‑1066 | NVIDIA vGPU Manager在vGPU插件中包含一个漏洞,该漏洞中的输入数据未经验证,这可能导致资源意外消耗,进而导致拒绝服务。 | 5.5 | NVIDIA VGPU |
0x02 处置建议
目前,NVIDIA已经修复了部分漏洞,建议参考下表及时更新。
NVIDIA GPU:
已修复的CVE ID | 软件产品 | 操作系统 | Driver Branch | 受影响的版本 | 修复版本 |
CVE‑2021‑1051 | GeForce | Windows | R460 | 461.09之前的所有版本 | 461.09 |
NVIDIA RTX / Quadro、NVS | Windows | R460 | 461.09之前的所有版本 | 461.09 | |
R450 | 452.77之前的所有版本 | 452.77 | |||
R390 | 392.63之前的所有版本 | 392.63 | |||
Tesla | Windows | R460 | 461.09之前的所有版本 | 461.09 | |
R450 | 452.77之前的所有版本 | 452.77 | |||
R418 | 427.11之前的所有版本 | 427.11 |
已修复的CVE ID | 软件产品 | 操作系统 | Driver Branch | 受影响的版本 | 修复版本 |
CVE‑2021‑1052 | GeForce | Linux | R460 | 460.32.03之前的所有版本 | 460.32.03 |
R450 | 450.102.04之前的所有版本 | 450.102.04 | |||
NVIDIA RTX / Quadro、NVS | Linux | R460 | 460.32.03之前的所有版本 | 460.32.03 | |
R450 | 450.102.04之前的所有版本 | 450.102.04 | |||
R390 | 390.141之前的所有版本 | 390.141 | |||
Tesla | Linux | R460 | 所有版本 | 2021年1月18日发布 | |
R450 | 所有版本 | 2021年1月18日发布 | |||
R418 | 所有版本 | 2021年1月18日发布 |
NVIDIA vGPU:
已修复CVE ID | vGPU组件 | 操作系统 | 受影响版本 | 修复版本 | |||
vGPU软件 | Driver | vGPU软件 | Driver | ||||
CVE‑2021‑1058 | vGPU软件(访客驱动程序) | Windows | 11.3之前的所有版本 | 452.77之前的所有版本 | 11.3 | 452.77 | |
8.6之前的所有版本 | 427.11之前的所有版本 | 8.6 | 427.11 | ||||
vGPU软件(访客驱动程序) | Linux | 11.3之前的所有版本 | 450.102.04之前的所有版本 | 11.3 | 450.102.04 | ||
8.6之前的所有版本 | 418.181.07之前的所有版本 | 8.6 | 418.181.07 | ||||
CVE‑2021‑1057 | vGPU软件(虚拟GPU管理器) | Citrix Hypervisor,VMware vSphere,红帽企业Linux KVM、Nutanix AHV | 11.3之前的所有版本 | 450.102之前的所有版本 | 11.3 | 450.102 | |
8.6之前的所有版本 | 418.181之前的所有版本 | 8.6 | 418.181 | ||||
0x03 参考链接
https://nvidia.custhelp.com/app/answers/detail/a_id/5142/kw/Security%20Bulletin
https://www.bleepingcomputer.com/news/security/nvidia-fixes-high-severity-flaws-affecting-windows-linux-devices/
0x04 时间线
2021-01-07 NVIDIA发布安全更新
2021-01-11 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/