云容器引擎 CCE云容器引擎 CCE

文档首页> 云容器引擎 CCE> 服务公告> 漏洞公告> NVIDIA GPU驱动漏洞公告(CVE-2021-1056)
更新时间:2021/07/27 GMT+08:00
分享

NVIDIA GPU驱动漏洞公告(CVE-2021-1056)

近日,NVIDIA公布了关于NVIDIA GPU驱动的一个漏洞CVE-2021-1056,如果您的CCE集群中存在GPU(ECS)节点,并使用了CCE推荐的NVIDIA GPU驱动版本(Tesla 396.37),按照目前NVIDIA官方公告判断暂不受影响;如果您自行安装或更新过节点上的NVIDIA GPU驱动,则可能存在该漏洞。

本文介绍该漏洞的背景信息、影响范围和解决方案。

背景信息

近日,NVIDIA公布了关于NVIDIA GPU驱动的一个漏洞,该漏洞是存在于NVIDIA GPU驱动程序中与设备隔离相关的安全漏洞。当容器以非特权模式启动,攻击者利用这个漏洞,通过在容器中创建特殊的字符设备文件后,能够获取宿主机上所有GPU设备的访问权限。

关于漏洞的详细信息,请参见CVE-2021-1056

漏洞详情

表1 漏洞信息

漏洞类型

CVE-ID

披露/发现时间

权限提升

CVE-2021-1056

2021-01-07

如何确认GPU节点的NVIDIA驱动版本

登录到您的GPU节点,执行如下命令,即可查看驱动版本。

关于如何登录到GPU节点,详情请参见Linux弹性云服务器登录方式概述

[root@XXX36 bin]# ./nvidia-smi 
Fri Apr 16 10:28:28 2021       
+-----------------------------------------------------------------------------+
| NVIDIA-SMI 460.32.03    Driver Version: 460.32.03    CUDA Version: 11.2     |
|-------------------------------+----------------------+----------------------+
| GPU  Name        Persistence-M| Bus-Id        Disp.A | Volatile Uncorr. ECC |
| Fan  Temp  Perf  Pwr:Usage/Cap|         Memory-Usage | GPU-Util  Compute M. |
|                               |                      |               MIG M. |
|===============================+======================+======================|
|   0  Tesla T4            Off  | 00000000:21:01.0 Off |                    0 |
| N/A   68C    P0    31W /  70W |      0MiB / 15109MiB |      0%      Default |
|                               |                      |                  N/A |
+-------------------------------+----------------------+----------------------+

+-----------------------------------------------------------------------------+
| Processes:                                                                  |
|  GPU   GI   CI        PID   Type   Process name                  GPU Memory |
|        ID   ID                                                   Usage      |
|=============================================================================|
|  No running processes found                                                 |
+-----------------------------------------------------------------------------+

从上述输出的信息中,可以看到该节点的GPU驱动版本为460.32.03。

影响范围

按照NVIDIA官方给出的漏洞公告信息,目前受影响的NVIDIA GPU驱动版本如下图所示:

更多信息,请参见NVIDIA官网

影响说明:

  • 云容器引擎CCE集群和gpu-beta插件推荐安装的NVIDIA GPU驱动,尚未出现在NVIDIA官方信息中。如果将来有新的官方信息变化,我们将及时跟进帮助您升级修复。
  • 如果您是自行选择安装的NVIDIA GPU驱动或更新过节点上的GPU驱动,请参考上图确认您安装的GPU驱动是否受该漏洞影响。

解决方案

请您根据上图的NVIDIA官方漏洞公告信息,将节点升级到对应驱动版本进行漏洞修复:

若您升级了NVIDIA GPU驱动,需重启GPU节点,重启节点将会短暂影响您的业务。

  • 如果节点驱动版本为418系列,请升级驱动至418.181.07版本。
  • 如果节点驱动版本为450系列,请升级驱动至450.102.04版本。
  • 如果节点驱动版本为460系列,请升级驱动至460.32.03版本。

如果您升级CCE集群节点的GPU驱动,可以升级gpu-beta插件或重装插件,并在安装插件时填写修复后的NVIDIA GPU驱动的下载地址即可,详情请参见gpu-beta

分享:

    相关文档

    相关产品