NVIDIA, şu anda dünya çapında çok çeşitli saldırılarda kullanılan Log4Shell güvenlik açığından hangi ürünlerin etkilendiğini ayrıntılandıran bir güvenlik danışma belgesi yayınladı.
Kapsamlı bir araştırmadan sonra NVIDIA, Log4j güvenlik açıklarının aşağıdaki ürünleri etkilemediği sonucuna vardı:
- GeForce Experience istemci yazılımı
- GeForceNOW istemci yazılımı
- Windows için GPU Ekran Sürücüleri
- L4T Jetson Ürünleri
- KALKAN TV
Log4Shell etkisi
NVIDIA tüketici uygulamaları etkilenmese de, bazı NVIDIA kurumsal uygulamaları Apache Log4j’yi içerir ve güncellenmesi gerekir:
- 11.0’ın altındaki Nsight Eclipse Edition sürümleri, CVE-2021-33228 ve CVE-2021-45046’ya karşı savunmasızdır ve 11.0 veya sonraki sürümlerde düzeltilmiştir.
- NetQ, 2.x, 3.x ve 4.0.x sürümlerinde CVE-2021-33228, CVE-2021-45046 ve CVE-2021-45105’e karşı savunmasızdır. Bu nedenle, kullanıcıların NetQ 4.1.0 veya sonraki bir sürümüne yükseltme yapmaları önerilir.
- vGPU Yazılım Lisans Sunucusu, 2021.07 ve 2020.05 Güncelleme 1 sürümlerinde CVE-2021-33228 ve CVE-2021-45046’dan etkilenir. Bu durumlarda önerilen uygulama şu şekildedir: bu azaltma kılavuzu.
NVIDIA ayrıca CUDA Toolkit Visual Profiler’ın Log4j dosyalarını içerdiğini ancak uygulamanın bunları kullanmadığı konusunda uyarır. Bu dosyaları kaldırmak için Ocak 2022’de güncellenmiş bir sürüm yayınlanmaktadır.
“Log4j, CUDA Toolkit’e dahildir. Ancak kullanılmıyor ve Log4j dosyalarına sahip kullanıcılar için herhangi bir risk yok”, diye açıklıyor. NVIDIA’nın güvenlik uyarısı.
“Kullanılmadıkları için, Log4j dosyalarını CUDA Toolkit’ten kaldırmak için bir güncelleme hazırlanıyor. Eğer ilgiliyse, müşteriler bir hafifletme olarak dosyaları güvenle silebilir.”
Son olarak, varsayılan olarak DGX Systems, Log4j kitaplığı ile birlikte gelmez, ancak NVIDIA, bazı kullanıcıların onu kendileri kurmuş olabileceği konusunda uyarır. Bu durumlarda, kullanıcılara güncelleme yapmaları önerilir. mevcut en son sürüm veya tamamen kaldırın.
NVIDIA’nın araştırması halen devam etmektedir ve yukarıdaki listelerde etkilenen veya etkilenmeyen olarak listelenmeyen tüm ürün veya hizmetlerle ilgilidir.
Buna karşılık, GPU pazarındaki diğer büyük oyuncu AMD, bunu doğruladı. ürünlerinin hiçbiri etkilenmez Log4shell istismarı tarafından.
Ne yazık ki, diğer birçok ürün etkilenir, bu nedenle tüm kuruluşlar, özellikle İnternet’e maruz kalanlar olmak üzere, savunmasız yazılımlarının eksiksiz bir denetimini yapmalıdır.
Bununla birlikte, tehdit aktörleri kullandığı için savunmasız dahili uygulamaların bile güncellenmesi gerekir. Log4Shell güvenlik açığı yanlara yayılıyor fidye yazılımı dağıtmak için ağlar içinde.
GeForce Deneyimi güncellemesi
Log4j ile ilgisi olmasa da, NVIDIA bir güvenlik güncellemesi yayınladı NVIDIA GeForce Experience yazılımı için CVE-2021-23175 (CVSS v3 puanı: 8.2).
Bu güvenlik açığı, ayrıcalık yükselmesine, bilgilerin açığa çıkmasına, verilerin değiştirilmesine ve hizmet reddine yol açabilecek bir kullanıcı yetkilendirme sorunudur.
3.24.0.126’dan önceki tüm sürümler, bu yüksek önemdeki kusurdan etkilenir. Yazılımın başlatılması otomatik bir güncellemeyi tetikler.
GeForce Experience, kullanıcıların GPU sürücülerini güncellemelerine, oyun ayarlarını optimize etmelerine vb. yardımcı olan yardımcı bir uygulamadır. Ancak kullanıcılar, sürücü güncellemelerini her zaman doğrudan NVIDIA web sitesi ve bunları manuel olarak yükleyin.
Bu, uygulamayı oyun performansı geliştirmeleri için kullanmazsanız, onu sisteminizden güvenle kaldırabileceğiniz ve şimdilik güvenlik endişenizin azaldığı anlamına gelir.