Firma NVIDIA wydała aktualizację zabezpieczeń dla oprogramowania sprzętowego NVIDIA DGX-1. Ta aktualizacja rozwiązuje problem, który może prowadzić do wykonania dowolnego kodu, odmowy usługi, eskalacji uprawnień, ujawnienia informacji, manipulowania danymi i obejścia funkcji SecureBoot.

CVE IDOPISCVSS
CVE‑2023‑0209NVIDIA DGX-1 SBIOS zawiera lukę w module Uncore PEI, w której brakuje uwierzytelnienia kodu wykonywanego przez SSA, co może prowadzić do wykonania dowolnego kodu, odmowy usługi, eskalacji uprawnień, ujawnienia informacji, manipulacji danymi i obejścia SecureBoot .8.2AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE‑2023‑25505NVIDIA DGX-1 BMC zawiera lukę w obsłudze IPMI AMI MegaRAC BMC, w której osoba atakująca z odpowiednim poziomem autoryzacji może spowodować przepełnienie bufora, co może prowadzić do odmowy usługi, ujawnienia informacji lub wykonania dowolnego kodu.7.8AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE‑2023‑25506NVIDIA DGX-1 zawiera lukę w zabezpieczeniach Ofbd w AMI SBIOS, gdzie wstępnie uwarunkowana sterta może pozwolić użytkownikowi z podwyższonymi uprawnieniami na wywołanie dostępu poza koniec bufora, co może prowadzić do wykonania kodu, eskalacji uprawnień, odmowy usługi i ujawnienie informacji. Zakres wpływu tej luki może obejmować inne komponenty.7.5AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE‑2023‑25507NVIDIA DGX-1 BMC zawiera lukę w SPX REST API, przez którą osoba atakująca z odpowiednim poziomem autoryzacji może wstrzyknąć dowolne polecenia powłoki, co może prowadzić do wykonania kodu, odmowy usługi, ujawnienia informacji i manipulowania danymi.7.2AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE‑2023‑25508NVIDIA DGX-1 BMC zawiera lukę w module obsługi IPMI, dzięki której osoba atakująca z odpowiednim poziomem autoryzacji może w pewnych okolicznościach przesyłać i pobierać dowolne pliki, co może prowadzić do odmowy usługi, eskalacji uprawnień, ujawnienia informacji i manipulowania danymi .6.7AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE‑2023‑25509NVIDIA DGX-1 SBIOS zawiera lukę w zabezpieczeniach Bds, która może prowadzić do wykonania kodu, odmowy usługi i eskalacji uprawnień.6.0AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H

W poniższej tabeli wymieniono produkty serwerowe NVIDIA, których dotyczy problem, wersje oprogramowania układowego, których dotyczy problem, oraz zaktualizowaną wersję zawierającą tę aktualizację zabezpieczeń.

Numer CVEPlatformaSystemWersja podatnaAktualizacja
CVE‑2023‑25505
CVE‑2023‑25508
CVE‑2023‑25507
NVIDIA DGX-1 ServersDGX-1All BMC versions prior to 3.39.33.39.30
CVE‑2023‑0209
CVE‑2023‑25506
CVE‑2023‑25509
NVIDIA DGX-1 ServersDGX-1All SBIOS prior to S2W_3A13S2W_3A13