-
06/07/2013
-
797
-
1.308 bài viết
Các sản phẩm của NVIDIA, HPE bị ảnh hưởng bởi lỗ hổng Log4j
NVIDIA và Hewlett Packard Enterprise (HPE) đã xác nhận rằng một số sản phẩm của họ bị ảnh hưởng bởi các lỗ hổng gần đây trong Apache Log4j.
Tổng cộng ba lỗ hổng đã được xác định - đó là CVE-2021-44228 (hay còn gọi là Log4Shell), CVE-2021-45046 và CVE ‑ 2021‑45105 - ít nhất hai trong số chúng đã bị khai thác trong các cuộc tấn công.
Ngay sau khi lỗ hổng được công khai, NVIDIA và HPE đã bắt đầu điều tra xem sản phẩm nào của họ bị ảnh hưởng và cả hai đều đã phát hành các bản vá cũng như biện pháp giảm nhẹ để giải quyết các lỗi hoặc ngăn chặn các nỗ lực khai thác.
Trong một khuyến nghị an ninh vào thứ tư, NVIDIA xác nhận rằng các lỗ hổng bảo mật Log4j ảnh hưởng đến CUDA Toolkit Visual Profiler, Nsight Eclipse Edition, NetQ và vGPU Software License Server.
NVIDIA cũng lưu ý rằng, trong khi DGX Systems không bao gồm thư viện Java Log4j, người dùng có thể đã cài đặt tiện ích dễ bị tấn công dưới dạng phần mềm bổ sung. Do đó, NVIDIA đã quyết định phát hành các bản sửa lỗi cho nhiều bản phát hành DGX OS.
Phần mềm GeForce Experience và GeForceNOW của NVIDIA, GPU Display Drivers cho Windows and Linux, các sản phẩm L4T Jetson, SHIELD TV và các sản phẩm mạng (ngoại trừ NetQ) không bị ảnh hưởng.
HPE cho biết một số sản phẩm của họ cũng bị ảnh hưởng bởi CVE-2021-4104, một lỗ hổng "deserialization of untrusted data" có thể được kích hoạt bởi kẻ tấn công có quyền truy cập vào cấu hình Log4j và dẫn đến việc thực thi mã từ xa (RCE), (chỉ Log4j 1.2 được cấu hình để sử dụng JMSAppender bị ảnh hưởng).
HPE đã xác định được khoảng 60 sản phẩm sử dụng thư viện Log4j tồn tại lỗ hổng và đã xuất bản các thông báo an ninh (bao gồm các bản vá lỗi và biện pháp giảm nhẹ) và các bản tin an ninh.
NVIDIA và HPE chỉ là hai trong số nhiều công ty có khả năng bị ảnh hưởng bởi các lỗ hổng Log4j. Đầu tuần này, Google cho biết họ đã xác định được 36.000 package Java trong Maven Central repository vẫn sử dụng các phiên bản Log4j dễ bị tấn công.
Tổng cộng ba lỗ hổng đã được xác định - đó là CVE-2021-44228 (hay còn gọi là Log4Shell), CVE-2021-45046 và CVE ‑ 2021‑45105 - ít nhất hai trong số chúng đã bị khai thác trong các cuộc tấn công.
Ngay sau khi lỗ hổng được công khai, NVIDIA và HPE đã bắt đầu điều tra xem sản phẩm nào của họ bị ảnh hưởng và cả hai đều đã phát hành các bản vá cũng như biện pháp giảm nhẹ để giải quyết các lỗi hoặc ngăn chặn các nỗ lực khai thác.
Trong một khuyến nghị an ninh vào thứ tư, NVIDIA xác nhận rằng các lỗ hổng bảo mật Log4j ảnh hưởng đến CUDA Toolkit Visual Profiler, Nsight Eclipse Edition, NetQ và vGPU Software License Server.
NVIDIA cũng lưu ý rằng, trong khi DGX Systems không bao gồm thư viện Java Log4j, người dùng có thể đã cài đặt tiện ích dễ bị tấn công dưới dạng phần mềm bổ sung. Do đó, NVIDIA đã quyết định phát hành các bản sửa lỗi cho nhiều bản phát hành DGX OS.
Phần mềm GeForce Experience và GeForceNOW của NVIDIA, GPU Display Drivers cho Windows and Linux, các sản phẩm L4T Jetson, SHIELD TV và các sản phẩm mạng (ngoại trừ NetQ) không bị ảnh hưởng.
HPE cho biết một số sản phẩm của họ cũng bị ảnh hưởng bởi CVE-2021-4104, một lỗ hổng "deserialization of untrusted data" có thể được kích hoạt bởi kẻ tấn công có quyền truy cập vào cấu hình Log4j và dẫn đến việc thực thi mã từ xa (RCE), (chỉ Log4j 1.2 được cấu hình để sử dụng JMSAppender bị ảnh hưởng).
HPE đã xác định được khoảng 60 sản phẩm sử dụng thư viện Log4j tồn tại lỗ hổng và đã xuất bản các thông báo an ninh (bao gồm các bản vá lỗi và biện pháp giảm nhẹ) và các bản tin an ninh.
NVIDIA và HPE chỉ là hai trong số nhiều công ty có khả năng bị ảnh hưởng bởi các lỗ hổng Log4j. Đầu tuần này, Google cho biết họ đã xác định được 36.000 package Java trong Maven Central repository vẫn sử dụng các phiên bản Log4j dễ bị tấn công.
Nguồn: SecurityWeek