最近公布的Log4Shell漏洞,已经全世界范畴内被很多进攻运用。对于此事,很多企业作出了安全性预警信息。依据Bleeping Computer网址信息,英伟达(NVIDIA)企业公布了一份安全性公示,详细描述了什么商品易遭受Log4Shell漏洞影响。
通过完全调研,NVIDIA觉得Log4j漏洞不容易对下列几种商品导致影响。
- GeForce Experience 客户端;
- GeForceNOW 客户端软件;
- 用以 Windows 的 GPU 表明驱动软件;
- L4T Jetson 商品;
- SHIELD TV。
Log4Shell漏洞的影响
依据英伟达公布的公示可以看得出,尽管其顾客应用软件很有可能不容易遭受漏洞影响,但一些NVIDIA公司程序中包括了Apache Log4j,必须开展升级:
- 小于 11.0 版本的 Nsight Eclipse Edition 非常容易遭受 CVE-2021-33228 和 CVE-2021-45046 漏洞影响,可是在 11.0 或更高版本中早已修补了这种漏洞;
- NetQ 在 2.x、3.x 和 4.0.x 版本上存有 CVE-2021-33228、CVE-2021-45046 和CVE-2021-45105 漏洞,提议客户更新到 NetQ 4.1.0 或更高版本;
- vGPU 手机软件批准网络服务器在 2021.07 和 2020.05 Update 1 版本上非常容易遭受 CVE-2021-33228和CVE-2021-45046 漏洞的影响。
NVIDIA 称 CUDA Toolkit Visual Profiler 包含 Log4j 文档,尽管该应用软件沒有应用这种文档,依然会在2022年1月公布一个升级的版本,以删掉这种文档。此外,在默认设置状况下,DGX 系统软件沒有附加Log4j库,无须担忧,但一些客户也许早已自身安裝了它。在这种状况下,提议客户升级到该库的全新可以用版本,或是彻底删掉它。
英伟达的调研仍在进行中,包括了以上明细中未被列入受影响或未受影响的其他商品或服务项目。
比较之下,GPU销售市场的另一“主宰”AMD早已确定,其商品沒有遭受Log4shell漏洞的影响。
遗憾的是,很多其它公司的商品都遭受影响,因而提议其应当对易受攻击的系统开展全方位财务审计,尤其是曝露在移动互联网上的手机软件。
GeForceExperience升级
NVIDIA公布了NVIDIA GeForce Experience软件安全补丁,解决了CVE-2021-23175 漏洞问题(CVSS v3得分:8.2)。
该漏洞是一个客户受权问题,可造成管理权限更新、数据泄露、数据信息伪造和拒绝服务攻击。
GeForce Experience 是一个配套设施的应用软件,可以协助客户升级其GPU驱动软件,提升游戏设置等。客户如果不应用该应用软件来提高手机游戏特性,可以可靠地从系统中删掉,保证临时少一个安全风险。
参照文章内容;
https://www.bleepingcomputer.com/news/security/nvidia-discloses-applications-impacted-by-log4j-vulnerability/