CSIRT comparte la información entregada por Nvidia sobre vulnerabilidades que afectan a varios de sus drivers gráficos y software vGPU.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por Nvidia sobre vulnerabilidades que afectan a varios de sus drivers gráficos y software vGPU.
Este informe incluye las medidas de mitigación, consistentes en instalar las últimas actualizaciones de los productos afectados.
Vulnerabilidades
CVE‑2021‑1051
CVE‑2021‑1052
CVE‑2021‑1053
CVE‑2021‑1054
CVE‑2021‑1055
CVE‑2021‑1056
CVE‑2021‑1057
CVE‑2021‑1058
CVE‑2021‑1059
CVE‑2021‑1060
CVE‑2021‑1061
CVE‑2021‑1062
CVE‑2021‑1063
CVE‑2021‑1064
CVE‑2021‑1065
CVE‑2021‑1066
Impacto
Estas vulnerabilidades permiten ataques de denegación de servicio (DoS), escalamiento de privilegios, alteración de datos o acceso a información privada. La empresa puso a disposición las respectivas actualizaciones de seguridad para contrarrestar estos problemas.
Las vulnerabilidades más severas son CVE-2021-1051, que permiten a un atacante local autenticado escalar privilegios o lanzar un ataque DoS, y CVE-2021-1052, que posibilita acceder a API privilegiadas que pueden llevar a DoS, escalamiento de privilegios y acceso a información privada.
Productos Afectados
Nvidia GPU Display Driver: GeForce, Nvidia RTX/Quadro, NVS y Tesla, todas las versiones. Para los drivers de Tesla en Linux la actualización será lanzada la semana del 18 de enero, informó Nvidia.
Nvidia vGPU: Todas las versiones.
Mitigación
Instalar las actualizaciones desde el sitio del proveedor.
Enlaces
https://nvidia.custhelp.com/app/answers/detail/a_id/5142
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1051
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1052
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1053
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1054
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1055
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1056
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1057
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1058
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1059
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1060
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1061
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1062
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1063
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1064
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1065
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1066
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00357-01