Podatność w demonze KVM hosta w firmware BMC urządzeń NVIDIA DGX A100 pozwala nieuwierzytelnionemu atakującemu wywołać przepełnienie stosu (stack overflow) poprzez wysłanie specjalnie spreparowanego pakietu sieciowego. Skuteczne wykorzystanie podatności może prowadzić do wykonania dowolnego kodu, co czyni tę lukę wyjątkowo niebezpieczną.
▸ Pokaż oryginał (EN)
NVIDIA DGX A100 BMC contains a vulnerability in the host KVM daemon, where an unauthenticated attacker may cause a stack overflow by sending a specially crafted network packet. A successful exploit of this vulnerability may lead to arbitrary code execution, denial of service, information disclosure, and data tampering.
Atakujący wysyła specjalnie spreparowany pakiet sieciowy do demona KVM działającego na kontrolerze BMC (Baseboard Management Controller) urządzenia NVIDIA DGX A100. Pakiet ten powoduje przepełnienie bufora na stosie (stack-based buffer overflow, CWE-121, CWE-787), co umożliwia nadpisanie krytycznych struktur pamięci. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika, a jego skutki wykraczają poza izolowany komponent (scope changed).
Atakujący może uzyskać możliwość wykonania dowolnego kodu (RCE) na podatnym urządzeniu, a także doprowadzić do odmowy usługi (DoS), ujawnienia poufnych informacji oraz manipulacji danymi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez NVIDIA pod adresem: https://nvidia.custhelp.com/app/answers/detail/a_id/5510
NVIDIA DGX A100 oraz firmware BMC urządzeń NVIDIA DGX A100 — szczegółowe wersje wskazane w referencjach producenta (https://nvidia.custhelp.com/app/answers/detail/a_id/5510)
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HNvidia Dgx A100
HWNvidiawszystkie wersjeNvidia Dgx A100 Firmware
OSNvidia< 00.22.05
Powiązane podatności
NVIDIA DGX A100 BMC: stack corruption w daemonie KVM umożliwiający RCE
Stack overflow w BMC KVM daemon NVIDIA DGX A100 — RCE bez uwierzytelnienia
NVIDIA DGX A100 SBIOS contains a vulnerability where an attacker may cause an SMI callout vulnerability that c...
NVIDIA DGX A100 SBIOS contains a vulnerability where a user may cause a dynamic variable evaluation by local a...
NVIDIA DGX A100/A800 contains a vulnerability in SBIOS where an attacker may cause improper input valid...