개요
NVIDIA에서는 공급한 제품의 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE‑2022‑42271, CVE‑2022‑42272, CVE‑2022‑42273, CVE‑2022‑42274, CVE‑2022‑42275, CVE‑2022‑42279, CVE‑2022‑42280, CVE‑2022‑42282, CVE‑2022‑42283, CVE‑2022‑42284, CVE‑2022‑42287, CVE‑2022‑42288, CVE‑2022‑42289, CVE‑2022‑42290
- NVIDIA DGX Servers DGX Station A100, DGX Station A800 BMC firmware 2.09.00 미만의 버전
CVE‑2023‑25521, CVE‑2023‑31031, CVE‑2023‑31032, CVE‑2023‑31034
- NVIDIA DGX Servers DGX Station A100, DGX Station A800 SBIOS firmware 10.20 미만의 버전
해결된 취약점
NVIDIA baseboard management controller (BMC)에서 버퍼 오버플로우 검증이 미흡하여 발생하는 서비스 장애 취약점 (CVE‑2022‑42271)
NVIDIA BMC에서 버퍼 오버플로우 검증이 미흡하여 발생하는 서비스 장애 취약점 (CVE‑2022‑42272)
NVIDIA BMC에서 버퍼 오버플로우 검증이 미흡하여 발생하는 서비스 장애 취약점 (CVE‑2022‑42273)
NVIDIA BMC에서 버퍼 오버플로우 검증이 미흡하여 발생하는 서비스 장애 취약점 (CVE‑2022‑42274)
NVIDIA BMC에서 보안 설정 보호 우회가 미흡하여 발생하는 서비스 장애 취약점 (CVE‑2022‑42275)
NVIDIA BMC에서 임의 쉘 명령 인젝션 검증이 미흡하여 발생하는 서비스 장애 취약점 (CVE‑2022‑42279)
NVIDIA BMC에서 입력된 경로 검증이 미흡하여 발생하는 권한 상승 취약점 (CVE‑2022‑42280)
NVIDIA BMC에서 임의 파일 접근이 미흡하여 발생하는 정보 공개 취약점 (CVE‑2022‑42282)
NVIDIA BMC에서 버퍼 오버플로우 검증이 미흡하여 발생하는 서비스 장애 취약점 (CVE‑2022‑42283)
NVIDIA BMC에서 발생하는 자격 증명 노출 취약점 (CVE‑2022‑42284)
NVIDIA BMC에서 특정 조건에서 원격 파일 업로드 및 다운로드가 가능하여 발생하는 서비스 장애 취약점 (CVE‑2022‑42287)
NVIDIA BMC에서 사용자 계정정보 추정이 가능하여 발생하는 정보 공개 취약점 (CVE‑2022‑42288)
NVIDIA DGX Station A100 및 DGX Station A800 BMC에서 발생하는 임의의 명령 삽입 취약점 (CVE‑2022‑42289)
NVIDIA DGX Station A100 및 DGX Station A800 BMC에서 발생하는 임의의 명령 삽입 취약점 (CVE‑2022‑42290)
NVIDIA DGX Station A100 및 DGX Station A800 SBIOS에서 입력 매개변수의 부적절한 유효성 검사로 발생하는 코드 실행, 권한 상승, 서비스 거부, 정보 공개 및 데이터 변조 취약점 (CVE‑2023‑25521)
NVIDIA DGX Station A100 및 DGX Station A800 SBIOS에서 사용자 로컬 액세스로 발생하는 힙 기반 버퍼 오버플로우 취약점 (CVE‑2023‑31031)
NVIDIA DGX Station A100 및 DGX Station A800 SBIOS에서 사용자 로컬 액세스로 발생하는 동적 변수 처리 취약점 (CVE‑2023‑31032)
NVIDIA DGX Station A100 및 DGX Station A800 SBIOS에서 정수 오버플로우를 일으켜 발생하는 입력 유효성 검사 우회 취약점 (CVE‑2023‑31034)
취약점 패치
2024년 2월 8일 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트 [1]의 내용을 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE‑2022‑42271, CVE‑2022‑42272, CVE‑2022‑42273, CVE‑2022‑42274, CVE‑2022‑42275, CVE‑2022‑42279, CVE‑2022‑42280, CVE‑2022‑42282, CVE‑2022‑42283, CVE‑2022‑42284, CVE‑2022‑42287. CVE‑2022‑42288, CVE‑2022‑42289, CVE‑2022‑42290
- NVIDIA DGX Servers DGX Station A100, DGX Station A800 BMC Firmware 2.09.00
CVE‑2023‑25521, CVE‑2023‑31031, CVE‑2023‑31032, CVE‑2023‑31034
- NVIDIA DGX Servers DGX Station A100, DGX Station A800 SBIOS Firmware 10.20
참고 사이트
[1] Security Bulletin: NVIDIA DGX Station A100 and DGX Station A800 – February 2024
https://nvidia.custhelp.com/app/answers/detail/a_id/5513
[2] CWE-120: Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’)
https://cwe.mitre.org/data/definitions/120.html
[3] CWE-627: Dynamic Variable Evaluation
https://cwe.mitre.org/data/definitions/627.html
[4] CWE-250: Execution with Unnecessary Privileges
https://cwe.mitre.org/data/definitions/250.html
[5] CWE-78: Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)
https://cwe.mitre.org/data/definitions/78.html
[6] CWE-22: Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)
https://cwe.mitre.org/data/definitions/22.html
[7] CWE-312: Cleartext Storage of Sensitive Information
https://cwe.mitre.org/data/definitions/312.html
[8] CWE-208: Observable Timing Discrepancy
https://cwe.mitre.org/data/definitions/208.html
[9] CWE-122: Heap-based Buffer Overflow
https://cwe.mitre.org/data/definitions/122.html