Nvidia a patché 3 vulnérabilités dans ses produits Jetson

0

Nvidia a corrigé trois failles de sécurité affectant ses produits Jetson, qui sont une série de cartes informatiques intégrées conçues pour les applications d’apprentissage automatique, telles que les robots autonomes, les drones, etc… Un exploit réussi pourrait potentiellement paralyser ces gadgets utilisant les produits Jetson concernés, a déclaré Nvidia.

Si elle est exploitée, la plus grave de ces failles pourrait entraîner une condition de déni de service (DoS) pour les produits concernés. La faille (CVE-2021-1070) a une note de 7,1 sur 10 sur l’échelle CVSS, ce qui la rend très grave. Le problème se trouve dans le Nvidia Linux Driver Package (L4T), le package de support de carte pour les produits Jetson.

Nvidia L4T contient un problème dans le script apply_binaries.sh. Ce script est utilisé pour installer les composants Nvidia dans l’image du système de fichiers root. Le script autorise un contrôle d’accès incorrect, ce qui peut conduire un utilisateur non privilégié à modifier les fichiers de l’arborescence des périphériques du système. Les arborescences de périphériques sont une structure de données des composants matériels d’un ordinateur particulier, qui permettent au noyau d’un système d’exploitation d’utiliser et de gérer ces composants, notamment le processeur, la mémoire et les périphériques.

L’accès à un fichier d’arborescence de périphériques peut permettre à un attaquant de lancer une attaque DoS. D’autres détails sur la faille – y compris ce dont un attaquant a besoin pour l’exploiter – n’ont pas été divulgués. Le problème a été découvert par le programmeur Michael de Gans.

nvidia

Toutes les versions antérieures à la version L4T r32.5 sont affectées et un patch est disponible dans la version L4T r32.5. Les produits Jetson spécifiques concernés incluent les séries Jetson TX1 et TX2; qui sont deux cartes informatiques embarquées basse consommation équipées d’un processeur Nvidia Tegra et spécialement conçues pour accélérer l’apprentissage automatique dans les systèmes. La série Jetson AGX Xavier, un kit de développement qui est essentiellement un ordinateur à intelligence artificielle pour machines autonomes, est également touchée; le kit de développement Jetson Xavier NX; et les kits de développement Jetson Nano et Jetson Nano 2 Go.

Les deux autres sont des failles de sécurité de gravité moyenne (CVE-2021-1069 et CVE-2021-1071), qui ont été découvertes dans le pilote de noyau de Nvidia Tegra. C’est un code qui permet au noyau de communiquer avec les périphériques matériels dans lesquels se trouve le système sur puce (SoC).

CVE-2021-1069 se trouve dans NVHost, un hôte logiciel qui fait partie de Nvidia Driver Helper Service. NVHost permet à une variable d’être nulle, ce qui peut conduire à un déréférencement de pointeur nul et à un redémarrage inattendu, conduisant finalement à une perte de données, selon Nvidia.

CVE-2021-1071 se trouve quant à lui dans le driver INA3221, un contrôleur d’alimentation embarqué qui surveille la tension et le courant de certains rails. La faille permet un contrôle d’accès inapproprié, ce qui peut permettre à des utilisateurs non autorisés d’accéder aux données d’utilisation de l’alimentation du système. Cela peut conduire à la divulgation d’informations.

Un début d’année mouvementé pour Nvidia

Ce n’est que le dernier ensemble de correctifs à être publié par Nvidia ce mois-ci. La semaine dernière, Nvidia a révélé trois failles de sécurité dans les produits NVIDIA Shield TV, qui pourraient permettre un déni de service, une élévation des privilèges et la perte de données. Plus tôt en Janvier, Nvidia a corrigé les failles liées à 16 CVE dans ses pilotes graphiques et logiciels vGPU, dans sa première mise à jour de sécurité de 2021. Un avis de sécurité mis à jour inclut désormais la disponibilité de pilotes Linux corrigés pour la gamme de GPU Tesla, affectant CVE-2021-1052, CVE-2021-1053 et CVE-2021-1056.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.