ID 5294
Данное уведомление является ответом на уязвимости удаленного выполнения кода в Java-библиотеке Log4j, которая также известна как Log4Shell.
CVE-идентификаторы этих уязвимостей следующие:
NVIDIA знает об этих уязвимостях и оценивает их потенциальное влияние и актуальность для своих продуктов и услуг. Эта страница будет обновлена, когда появится дополнительная информация по этой проблеме.
НЕ ЗАТРОНУТЫЕ ПРОДУКТЫ NVIDIA
Следующие продукты были проанализированы NVIDIA и не являются уязвимыми или затронутыми этой проблемой. NVIDIA продолжает расследование и будет обновлять этот список по мере поступления новой информации. Продукты или услуги NVIDIA, не перечисленные ниже, находятся в процессе расследования.
- ПО GeForce Experience
- ПО GeForceNOW
- Видеодрайверы для Windows и Linux
- Продукты L4T Jetson
- NVIDIA Broadcast
- NVIDIA Maxine
- SHIELD TV
- Все сетевые продукты (кроме NetQ, который является одним из исправленных продуктов NVIDIA)
ИСПРАВЛЕННЫЕ ПРОДУКТЫ NVIDIA
В следующих разделах перечислены затронутые продукты NVIDIA, затронутые версии, доступные обновленные версии или исправления, требующие действий пользователя.
- CUDA Toolkit Visual Profiler and Nsight Eclipse Edition
- DGX Systems
- NetQ
- vGPU Software License Server
CUDA TOOLKIT VISUAL PROFILER AND NSIGHT ECLIPSE EDITION
Адресованные Идентификаторы CVE | Название продукта | Затронутые версии | Обновленная версия | Устранение последствий для затронутых версий |
---|---|---|---|---|
CVE‑2021‑44228 CVE‑2021‑45046 CVE‑2021‑41505 |
CUDA Toolkit Visual Profiler | Visual Profiler в CUDA Toolkit версии 11.5 и предыдущих версиях |
CUDA Toolkit версии 11.6.0 Обновления CUDA Toolkit версий 11.5.2 и 11.4.4 будут доступны в феврале 2022 года. |
Log4j включен в состав CUDA Toolkit. Однако он не используется, и нет никакого риска для пользователей, у которых есть файлы Log4j. Поскольку они не используются, готовится обновление для удаления файлов Log4j[1] из CUDA Toolkit. Если есть опасения, пользователи могут безопасно удалить файлы в качестве меры по снижению риска. |
CUDA Toolkit Nsight Eclipse Edition | Nsight Eclipse Edition в CUDA Toolkit до версии 11.0 |
Nsight Eclipse Plugins Edition в CUDA Toolkit версии 11.0 или более поздней. Обновления для версии 10.2 будут доступны в феврале 2022 года. |
Обновление до версии Nsight Eclipse Plugins Edition в CUDA Toolkit версии 11.0 или более поздней. В качестве альтернативы, обратите внимание, что Log4j включен в CUDA Toolkit 10.2 и более ранние версии. Однако он не используется, и нет никакого риска для пользователей, у которых есть файлы Log4j. Поскольку они не используются, готовится обновление для удаления файлов Log4j[2] из обновлений CUDA Toolkit 10.2. Если вы обеспокоены, пользователи могут безопасно удалить файлы в качестве меры по снижению риска. |
[1] На пример: C:\Program Files\NVIDIA GPU Computing Toolkit\CUDA\v11.5\libnvvp\plugins\org.apache.ant_1.9.2.v201404171502\lib\ant-apache-log4j.jar
[2] На пример: /usr/local/cuda/libnsight/plugins/org.apache.ant_1.9.2.v201404171502/lib/ant-apache-log4j.jar
СИСТЕМЫ DGX
По умолчанию системы DGX не подвержены этой проблеме. NVIDIA не включила библиотеку Log4j Java в свои выпуски DGX OS, но эта библиотека могла быть установлена пользователем в качестве дополнительного ПО. Чтобы проверить, установлена ли в вашей системе версия библиотеки liblog4j2-java, собранная из уязвимого исходного пакета apache-log4j2, выполните следующую команду:
$ apt-cache policy liblog4j2-java liblog4j2-java: Installed: (none) Candidate: 2.10.0-2ubuntu0.1
Исправления для устранения этой проблемы доступны от Canonical в обновленных версиях, перечисленных в следующей таблице.
Если установлена версия библиотеки liblog4j2-java, собранная из уязвимого исходного пакета apache-log4j2, выполните следующие команды, чтобы получить обновленную версию:
$ sudo apt update $ sudo apt full-upgrade
Адресованные Идентификаторы CVE | Название продукта | Версия затронутого продукта или компонента | Обновленная версия продукта или компонента |
---|---|---|---|
CVE‑2021‑44228 | DGX-1, DGX-2, DGX A100, DGX Station, DGX Station A100 | DGX OS 5: liblog4j2-java 2.14.1 и предыдущие версии |
DGX OS 5: liblog4j2-java 2.16.0-0.20.04.1 |
DGX OS 4: liblog4j2-java 2.10.0-2 и предыдущие версии |
DGX OS 4: liblog4j2-java 2.10.0-2ubuntu0.1 |
||
CVE‑2021‑45046 | DGX-1, DGX-2, DGX A100, DGX Station, DGX Station A100 | DGX OS 5: liblog4j2-java 2.14.1 и предыдущие версии |
DGX OS 5: liblog4j2-java 2.17.0-0.20.04.1 |
DGX OS 4: Не затронуты |
DGX OS 4: Не затронуты |
||
CVE‑2021‑45105 | DGX-1, DGX-2, DGX A100, DGX Station, DGX Station A100 | DGX OS 5: liblog4j2-java 2.14.1и предыдущие версии |
DGX OS 5: liblog4j2-java 2.17.0-0.20.04.1 |
DGX OS 4: liblog4j2-java 2.10.0-2 и предыдущие версии |
DGX OS 4: Устранение последствий ожидается Январь 2022 года. |
Для получения дополнительной информации об этой проблеме обратитесь к странице Log4Shell на вики Ubuntu.
NETQ
Адресованные Идентификаторы CVE | Название продукта | Затронутые версии | Обновленная версия |
---|---|---|---|
CVE‑2021‑44228 CVE‑2021‑45046 CVE‑2021‑45105 |
NetQ | Версии 2.x, 3.x и 4.0.x |
Экземпляры SaaS исправлены. Обновите локальные телеметрические серверы до версии 4.1.0, следуя руководству по обновлению NetQ. Если вы являетесь клиентом SaaS, вам также следует обновить серверы OPTA до версии 4.1.0. |
VGPU SOFTWARE LICENSE SERVER
Адресованные Идентификаторы CVE | Название продукта | Версия затронутого продукта или компонента | Устранение |
---|---|---|---|
CVE‑2021‑44228 CVE‑2021‑45046 CVE‑2021‑45105 |
vGPU software license server | 2021.07 и 2020.05 Обновление 1 |
Применить меры по смягчению последствий , описанное в статье Уязвимость Log4j Java (CVE-2021-44228 и CVE-2021-45046) для Legacy vGPU Software License Server в базе знаний NVIDIA. |
ПОЛУЧАЙТЕ САМУЮ АКТУАЛЬНУЮ ИНФОРМАЦИЮ О БЕЗОПАСНОСТИ ПРОДУКТОВ
Чтобы узнать больше о процессе управления уязвимостями, которому следует команда NVIDIA Product Security Incident Response Team (PSIRT), посмотреть текущий список бюллетеней безопасности NVIDIA или подписаться на уведомления о бюллетенях безопасности, перейдите на NVIDIA Product Security.
REVISION HISTORY
Ревизия | Дата | Описание |
---|---|---|
9.0 | 2 февраля 2022 г. | Добавлена информация об обновлениях CUDA Toolkit |
8.0 | 4 января 2022 г. | Добавлены продукты NVIDIA Maxine и Broadcast в список продуктов, которые не подвержены воздействию. Добавлена информация о CVE-2021-45105 для сервера лицензий ПО vGPU |
7.0 | 22 декабря 2021 г. | В список продуктов, не подверженных воздействию, добавлен драйвер дисплея GPU для Linux и сетевых продуктов. |
6.0 | 21 декабря 2021 г. | Добавлен драйвер дисплея GPU для Windows в список продуктов, которые не подвержены воздействию. Добавлена информация о CVE-2021-45105 для DGX OS. |
5.0 | 20 декабря 2021 г. | Добавлен раздел для списка незатронутых продуктов и включен CVE-2021-45105 в этот ответ. Добавлена информация об обновлении исправления CVE-2021-45105 для NETQ. |
4.0 | 17 декабря 2021 г. | Добавлена информация об обновлении для CUDA Toolkit и включен CVE-2021-45046 в этот ответ. |
3.0 | 16 декабря 2021 г. | Добавлена информация об обновлении для NetQ. |
2.0 | 15 декабря 2021 г. | Добавлена информация об обновлении программного обеспечения DGX OS Software и информация о смягчении последствий для сервера лицензирования программного обеспечения vGPU. |
1.0 | 13 декабря 2021 г. | Первоначальный выпуск. |
ПОДДЕРЖКА
Если у вас есть вопросы по данному уведомлению о безопасности, обратитесь в службу поддержки NVIDIA.
Отказ от ответственности
ВСЯ ИНФОРМАЦИЯ NVIDIA, СПЕЦИФИКАЦИИ ДИЗАЙНА, ЭТАЛОННЫЕ ПЛАТЫ, ФАЙЛЫ, ЧЕРТЕЖИ, ДИАГНОСТИКА, СПИСКИ И ДРУГИЕ ДОКУМЕНТЫ (ВМЕСТЕ И ПО ОТДЕЛЬНОСТИ, "МАТЕРИАЛЫ") ПРЕДОСТАВЛЯЮТСЯ "КАК ЕСТЬ". NVIDIA НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ, ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ, ПРЕДУСМОТРЕННЫХ ЗАКОНОМ ИЛИ ИНЫХ В ОТНОШЕНИИ МАТЕРИАЛОВ, И ВСЕ ЯВНЫЕ ИЛИ ПОДРАЗУМЕВАЕМЫЕ УСЛОВИЯ, ЗАЯВЛЕНИЯ И ГАРАНТИИ, ВКЛЮЧАЯ ЛЮБЫЕ ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ ИЛИ УСЛОВИЯ ПРАВА СОБСТВЕННОСТИ, ПРИГОДНОСТИ ДЛЯ ПРОДАЖИ, УДОВЛЕТВОРИТЕЛЬНОГО КАЧЕСТВА, ПРИГОДНОСТИ ДЛЯ КОНКРЕТНОЙ ЦЕЛИ И НЕНАРУШЕНИЯ ПРАВ, НАСТОЯЩИМ ИСКЛЮЧАЮТСЯ В МАКСИМАЛЬНОЙ СТЕПЕНИ, РАЗРЕШЕННОЙ ЗАКОНОМ.
Информация считается точной и надежной на момент ее предоставления. Однако компания NVIDIA не несет ответственности за последствия использования такой информации или за нарушение патентов или других прав третьих лиц, которые могут возникнуть в результате ее использования. Никакая лицензия не предоставляется косвенно или иным образом в соответствии с каким-либо патентом или патентными правами компании NVIDIA. Технические характеристики, указанные в данной публикации, могут быть изменены без уведомления. Данная публикация отменяет и заменяет всю ранее предоставленную информацию. Продукты компании NVIDIA не разрешено использовать в качестве критических компонентов в устройствах или системах жизнеобеспечения без письменного разрешения компании NVIDIA.