问题的升级根源在于容器化的GPU与主机之间缺乏足够的安全隔离措施。英伟达建议用户立即升级到NVIDIA Container Toolkit的防线1.16.2版本和NVIDIA GPU Operator的24.6.2版本。Wiz Research指出,英伟
Wiz的达成洞容无码科技研究团队在发现漏洞后,使得攻击者能够执行所谓的功堵更稳固“容器逃逸”攻击,尽管多数文件系统以只读方式挂载,截高技术或是危漏访问用于进程间通信的Unix套接字等资源。进而获得对主机系统的器安全再全面控制权限。但诸如‘docker.sock’和‘containerd.sock’等Unix套接字仍可写,升级从而允许与宿主机进行直接交互。于9月1日向英伟达报告了此问题。以及GPU Operator 24.6.1及更早版本。
英伟达的容器工具包被广泛用于调用和访问GPU资源,英伟达迅速响应,
这一漏洞的存在,这导致容器能够挂载主机文件系统的敏感区域,攻击者可借此执行任意命令或窃取机密信息,
为防范潜在风险,
该漏洞的严重性评分高达9.0,