漏洞预警 | Triton Inference Server for Linux远程代码执行漏洞（CVE-2024-0087）

777 Eonian Sharp 2024-06-23 22:47

一、漏洞概述

Triton Inference Server是NVIDIA发布的一款开源软件，是 NVIDIA AI 平台的重要组成部分。该服务器可以标准化各种工作负载的 AI 模型的部署和执行，为用户提供快速、可扩展的 AI 服务。作为全球主流的 AI 推理服务器，Triton 被全球众多人工智能厂商广泛使用。

NVIDIA Triton Inference Server for Linux 版本22.09 – 24.03中，由于日志文件配置接口/v2/logging接受log_file参数，允许设置要写入的日志文件的绝对路径，有权访问该接口的威胁者可利用该参数执行任意文件写入，成功利用该漏洞可能导致远程代码执行、拒绝服务、权限提升、信息泄露和数据篡改等。

二、影响范围

NVIDIA Triton Inference Server（Linux平台）：22.09 – 24.03

三、安全措施

升级修复方案

目前该漏洞已经修复，受影响用户可升级到NVIDIA Triton Inference Server for Linux 24.04或更高版本。 下载链接： https://developer.nvidia.com/triton-inference-server。