検出

NVIDIA Virtual GPU Manager の複数の脆弱性 (2021 年 7 月)

high Nessus プラグイン ID 159485

Language:

概要

リモートホストにインストールされている GPU 仮想化アプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートホストの NVIDIA Virtual GPU Manager ソフトウェアにセキュリティ更新プログラムがありません。そのため、以下を含む複数の脆弱性による影響を受けます:

 - NVIDIA vGPU ソフトウェアの仮想 GPU マネージャー (vGPU プラグイン) に脆弱性があり、ゲストのリクエストの長さフィールドの検証が不適切です。この欠陥により、悪意のあるゲストが、入力の実際の長さと一致しない長さフィールドを送信する可能性があります。これにより、情報漏洩、データ改ざん、またはサービス拒否が発生する可能性があります。(CVE-2021-1097)

 - NVIDIA vGPU ソフトウェアの仮想 GPU マネージャー (vGPU プラグイン) に脆弱性があるため、ゲストのドライバーアンロードリクエスト中に一部のリソースが解放されません。この欠陥により、悪意のあるゲストがこれらのリソースを再利用することで操作を実行し、情報漏洩、データ改ざん、またはサービス拒否を引き起こす可能性があります。(CVE-2021-1098)

 - NVIDIA vGPU ソフトウェアの Virtual GPU Manager (vGPU プラグイン) に脆弱性があるため、攻撃者がスタックベースのバッファオーバーフローを引き起こし、カスタマイズされた ROP ガジェットをスタックに配置する可能性があります。このような攻撃は、情報漏洩、データ改ざん、サービス拒否につながる可能性があります。(CVE-2021-1099)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

NVIDIA vGPU ソフトウェアをバージョン 8.8、11.5、12.3 以降に更新してください。

参考資料

https://nvidia.custhelp.com/app/answers/detail/a_id/5211

プラグインの詳細

深刻度: High

ID: 159485

ファイル名: nvidia_vgpu_2021_07.nasl

バージョン: 1.3

タイプ: local

ファミリー: Misc.

公開日: 2022/4/4

更新日: 2024/3/8

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 4.6

現状値: 3.4

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2021-1099

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:nvidia:virtual_gpu_manager

必要な KB アイテム: installed_sw/NVIDIA Virtual GPU Manager

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/7/20

脆弱性公開日: 2021/7/20

参照情報

CVE: CVE-2021-1097, CVE-2021-1098, CVE-2021-1099, CVE-2021-1100, CVE-2021-1101, CVE-2021-1102, CVE-2021-1103

IAVB: 2021-B-0042-S