NVIDIA ha publicado una actualización de firmware para la unidad de procesamiento de datos NVIDIA BlueField. Esta actualización soluciona problemas de seguridad que pueden dar lugar a una escalada de privilegios. Para proteger su sistema, descarga e instala esta actualización de firmware desde la página de soporte de red de NVIDIA.
Ve a Seguridad de los productos NVIDIA.
DETALLES
Esta sección proporciona un resumen de las vulnerabilidades potenciales que aborda esta actualización de seguridad y su impacto. Las descripciones utilizan CWE™, y las puntuaciones base y los vectores utilizan los estándares CVSS v3.1.
ID CVE | Descripción | Puntuación de base | Vector y CWE |
---|---|---|---|
CVE‑2023‑25519 |
El firmware de host NVIDIA ConnectX para la unidad de procesamiento de datos BlueField contiene una vulnerabilidad por la que un host restringido puede provocar un error de gestión de usuario incorrecto. Un exploit exitoso de esta vulnerabilidad puede conducir a la escalada de privilegios.
|
7.8 |
La evaluación de riesgos de NVIDIA se basa en un promedio del riesgo en un conjunto diverso de sistemas instalados y puede no representar el verdadero riesgo para su instalación local. NVIDIA recomienda consultar a un profesional de seguridad o TI para evaluar el riesgo de su configuración específica.
ACTUALIZACIONES DE SEGURIDAD
En las tablas siguientes se enumeran los sistemas NVIDIA afectados, las versiones de firmware afectadas y la versión actualizada que incluye esta actualización de seguridad.
ID de CVE abordados | Producto afectado | Versiones afectadas | Versiones actualizadas del firmware | Versión actualizada de BFB |
---|---|---|---|---|
CVE‑2023‑25519
|
BlueField 1 |
Todas las versiones posteriores a 18.24.1000 |
Contacta a su gestor de programas de clientes de NVIDIA |
N/A |
BlueField 2 LTS |
Todas las versiones anteriores a 24.35.3006 |
24.35.3006 o posterior |
3.9.5 o posterior |
|
BlueField 2 GA |
Todas las versiones anteriores a 24.38.1002 |
24.38.1002 o posterior |
4.2.0 o posterior |
|
BlueField 3 GA |
Todas las versiones anteriores a 32.38.1002 |
32.38.1002 o posterior |
4.2.0 o posterior |
RECONOCIMIENTOS
NVIDIA agradece a Hugo Magalhaes de Oracle por informar del problema CVE-2023-25519.
OBTENGA LA INFORMACIÓN MÁS ACTUALIZADA SOBRE LA SEGURIDAD DE LOS PRODUCTOS
Visita la página de seguridad de los productos de NVIDIA para
- Suscribirse a las notificaciones de boletines de seguridad
- Ver la lista actual de boletines de seguridad de NVIDIA
- Informar sobre un posible problema de seguridad en cualquier producto compatible con NVIDIA
- Más información sobre el proceso de gestión de vulnerabilidades seguido por el equipo de respuesta a incidentes de seguridad de productos (PSIRT) de NVIDIA
HISTORIAL DE REVISIONES
Revisión | Fecha | Descripción |
---|---|---|
1.0 | 6 septiembre 2023 | Primera publicación |
Soporte
Si tiene alguna pregunta sobre este boletín de seguridad, póngase en contacto con el Soporte de NVIDIA.
Aviso legal
TODA LA INFORMACIÓN DE NVIDIA, ESPECIFICACIONES DE DISEÑO, TARJETAS DE REFERENCIA, ARCHIVOS, DIBUJOS, DIAGNÓSTICOS, LISTAS Y OTROS DOCUMENTOS (EN CONJUNTO Y POR SEPARADO, "MATERIALES") SE PROPORCIONAN "TAL CUAL". NVIDIA NO OFRECE NINGUNA GARANTÍA, EXPRESA, IMPLÍCITA, ESTATUTARIA O DE OTRO TIPO CON RESPECTO A LOS MATERIALES, Y TODAS LAS CONDICIONES, REPRESENTACIONES Y GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA CUALQUIER GARANTÍA O CONDICIÓN IMPLÍCITA DE TÍTULO, COMERCIABILIDAD, CALIDAD SATISFACTORIA, IDONEIDAD PARA UN FIN DETERMINADO Y NO INFRACCIÓN, QUEDAN EXCLUIDAS POR EL PRESENTE DOCUMENTO EN LA MÁXIMA MEDIDA PERMITIDA POR LA LEY.
La información se considera exacta y fiable en el momento en que se facilita. No obstante, NVIDIA Corporation no asume responsabilidad alguna por las consecuencias del uso de dicha información ni por cualquier infracción de patentes u otros derechos de terceros que pueda resultar de su utilización. No se concede ninguna licencia implícita o de otro tipo bajo ninguna patente o derechos de patente de NVIDIA Corporation. Las especificaciones mencionadas en esta publicación están sujetas a cambios sin previo aviso. Esta publicación sustituye y reemplaza toda la información suministrada anteriormente. Los productos de NVIDIA Corporation no están autorizados para su uso como componentes críticos en dispositivos o sistemas de soporte vital sin la aprobación expresa y por escrito de NVIDIA Corporation.