Firma NVIDIA wydała aktualizację zabezpieczeń dla oprogramowania sprzętowego NVIDIA DGX-1. Ta aktualizacja rozwiązuje problem, który może prowadzić do wykonania dowolnego kodu, odmowy usługi, eskalacji uprawnień, ujawnienia informacji, manipulowania danymi i obejścia funkcji SecureBoot.
CVE ID | OPIS | CVSS | |
CVE‑2023‑0209 | NVIDIA DGX-1 SBIOS zawiera lukę w module Uncore PEI, w której brakuje uwierzytelnienia kodu wykonywanego przez SSA, co może prowadzić do wykonania dowolnego kodu, odmowy usługi, eskalacji uprawnień, ujawnienia informacji, manipulacji danymi i obejścia SecureBoot . | 8.2 | AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE‑2023‑25505 | NVIDIA DGX-1 BMC zawiera lukę w obsłudze IPMI AMI MegaRAC BMC, w której osoba atakująca z odpowiednim poziomem autoryzacji może spowodować przepełnienie bufora, co może prowadzić do odmowy usługi, ujawnienia informacji lub wykonania dowolnego kodu. | 7.8 | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
CVE‑2023‑25506 | NVIDIA DGX-1 zawiera lukę w zabezpieczeniach Ofbd w AMI SBIOS, gdzie wstępnie uwarunkowana sterta może pozwolić użytkownikowi z podwyższonymi uprawnieniami na wywołanie dostępu poza koniec bufora, co może prowadzić do wykonania kodu, eskalacji uprawnień, odmowy usługi i ujawnienie informacji. Zakres wpływu tej luki może obejmować inne komponenty. | 7.5 | AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE‑2023‑25507 | NVIDIA DGX-1 BMC zawiera lukę w SPX REST API, przez którą osoba atakująca z odpowiednim poziomem autoryzacji może wstrzyknąć dowolne polecenia powłoki, co może prowadzić do wykonania kodu, odmowy usługi, ujawnienia informacji i manipulowania danymi. | 7.2 | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE‑2023‑25508 | NVIDIA DGX-1 BMC zawiera lukę w module obsługi IPMI, dzięki której osoba atakująca z odpowiednim poziomem autoryzacji może w pewnych okolicznościach przesyłać i pobierać dowolne pliki, co może prowadzić do odmowy usługi, eskalacji uprawnień, ujawnienia informacji i manipulowania danymi . | 6.7 | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE‑2023‑25509 | NVIDIA DGX-1 SBIOS zawiera lukę w zabezpieczeniach Bds, która może prowadzić do wykonania kodu, odmowy usługi i eskalacji uprawnień. | 6.0 | AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H |
W poniższej tabeli wymieniono produkty serwerowe NVIDIA, których dotyczy problem, wersje oprogramowania układowego, których dotyczy problem, oraz zaktualizowaną wersję zawierającą tę aktualizację zabezpieczeń.
Numer CVE | Platforma | System | Wersja podatna | Aktualizacja |
CVE‑2023‑25505 CVE‑2023‑25508 CVE‑2023‑25507 | NVIDIA DGX-1 Servers | DGX-1 | All BMC versions prior to 3.39.3 | 3.39.30 |
CVE‑2023‑0209 CVE‑2023‑25506 CVE‑2023‑25509 | NVIDIA DGX-1 Servers | DGX-1 | All SBIOS prior to S2W_3A13 | S2W_3A13 |