NVIDIA 제품 보안 업데이트 권고 (CVE-2024-0132)

NVIDIA 제품 보안 업데이트 권고(CVE-2024-0132) - ASEC

NVIDIA 제품 보안 업데이트 권고(CVE-2024-0132) - ASEC

 

• 개요
  • NVIDIA는 자사 Container Toolkit에서 발견된 보안 취약점(CVE-2024-0132)을 해결하기 위한 보안 업데이트를 발표
  • Linux 시스템 사용자들은 최신 버전으로 업데이트할 필요가 있음
• 대상 제품
  • NVIDIA Container Toolkit 버전 1.16.1 이하 (Linux)
• 해결된 취약점
  • TOCTOU (Time-of-check Time-of-Use) 취약점: 특별히 제작된 컨테이너 이미지가 호스트 파일 시스템에 접근할 수 있는 보안 취약점
  • 해당 취약점은 코드 실행, 서비스 거부(DoS), 권한 상승, 정보 유출, 데이터 변조 등의 공격을 유발할 수 있음
• 취약점 패치
  • NVIDIA Container Toolkit 버전 1.16.2에서 해당 취약점을 해결
  • 사용자는 최신 버전으로 업데이트하여 시스템을 보호해야 함
• 업데이트 방법
  • NVIDIA Container Toolkit 및 NVIDIA GPU Operator 문서의 설치 섹션을 참고하여 업데이트 진행
  • 해당 취약점과 관련된 추가 정보는 NVIDIA Product Security 페이지에서 확인 가능
• 관련 취약점
  • CVE-2024-0133: 컨테이너 이미지가 호스트 파일 시스템에 빈 파일을 생성할 수 있는 취약점, 해당 취약점 역시 NVIDIA Container Toolkit 버전 1.16.2에서 해결
• 보안 업데이트 관련 참고 사항
  • TPM(Trusted Platform Module) 기반의 보안 메커니즘을 통해, Windows Hello 인증을 통해서만 리콜 데이터에 접근 가능
  • 악성 코드 및 비인가 접근으로부터 시스템을 보호하기 위해 모든 키는 TPM에서 저장되며, 얼굴, 지문, PIN 등의 인증 절차를 거쳐야만 데이터에 접근할 수 있음
• 조치 사항
  • NVIDIA 제품 보안 페이지를 통해 최신 보안 공지 및 업데이트를 확인하고, 시스템을 최신 상태로 유지
  • 보안 업데이트를 통해 시스템 보호를 위한 예방 조치를 취해야 함