【漏洞通告】NVIDIA Triton Inference Server 远程代码执行漏洞(CVE-2024-0087)
【漏洞通告】NVIDIA Triton Inference Server 远程代码执行漏洞(CVE-2024-0087)
启明星辰安全简讯 2024-06-21 17:44
一、漏洞概述
|
漏洞名称 |
NVIDIA Triton Inference Server for Linux远程代码执行漏洞 |
||
|
CVE ID |
CVE-2024-0087 |
||
|
漏洞类型 |
文件写入 |
发现时间 |
2024-06-21 |
|
漏洞评分 |
9.0 |
漏洞等级 |
高危 |
|
攻击向量 |
网络 |
所需权限 |
高 |
|
利用难度 |
低 |
用户交互 |
无 |
|
PoC/EXP |
已公开 |
在野利用 |
未发现 |
Triton Inference Server是NVIDIA发布的一款开源软件,是 NVIDIA AI 平台的重要组成部分。该服务器可以标准化各种工作负载的 AI 模型的部署和执行,为用户提供快速、可扩展的 AI 服务。作为全球主流的 AI 推理服务器,Triton 被全球众多人工智能厂商广泛使用。
6月21日,启明星辰集团VSRC监测到NVIDIA Triton Inference Server for
Linux远程代码执行漏洞(CVE-2024-0087)的漏洞细节及PoC在互联网上公开,该漏洞的CVSS评分为9.0。
NVIDIA Triton Inference Server for Linux 版本22.09 – 24.03中,由于日志文件配置接口/v2/logging接受log_file参数,允许设置要写入的日志文件的绝对路径,有权访问该接口的威胁者可利用该参数执行任意文件写入,成功利用该漏洞可能导致远程代码执行、拒绝服务、权限提升、信息泄露和数据篡改等。
二、影响范围
NVIDIA Triton Inference Server(Linux平台):22.09
– 24.03
三、安全措施
3.1 升级版本
目前该漏洞已经修复,受影响用户可升级到NVIDIA Triton
Inference Server for Linux 24.04或更高版本。
下载链接:
https://developer.nvidia.com/triton-inference-server
3.2 临时措施
暂无。
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
3.4 参考链接
https://nvidia.custhelp.com/app/answers/detail/a_id/5535
https://nvd.nist.gov/vuln/detail/CVE-2024-0087
https://sites.google.com/site/zhiniangpeng/blogs/Triton-RCE