NVIDIA GPU驱动漏洞公告(CVE-2021-1056)
漏洞详情
NVIDIA公布了关于NVIDIA GPU驱动的一个漏洞CVE-2021-1056,该漏洞是存在于NVIDIA GPU驱动程序中与设备隔离相关的安全漏洞。当容器以非特权模式启动,攻击者利用这个漏洞,通过在容器中创建特殊的字符设备文件后,能够获取宿主机上所有GPU设备的访问权限。
关于漏洞的详细信息,请参见CVE-2021-1056。
如果您的CCE集群中存在GPU(ECS)节点,并使用了CCE推荐的NVIDIA GPU驱动版本(Tesla 396.37),按照目前NVIDIA官方公告判断暂不受影响;如果您自行安装或更新过节点上的NVIDIA GPU驱动,则可能存在该漏洞。
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
---|---|---|---|
权限提升 |
中 |
2021-01-07 |
漏洞影响
按照NVIDIA官方给出的漏洞公告信息,目前受影响的NVIDIA GPU驱动版本如下图所示:
更多信息,请参见NVIDIA官网。
影响说明:
- 云容器引擎CCE集群和gpu-beta插件推荐安装的NVIDIA GPU驱动,尚未出现在NVIDIA官方信息中。如果将来有新的官方信息变化,我们将及时跟进帮助您升级修复。
- 如果您是自行选择安装的NVIDIA GPU驱动或更新过节点上的GPU驱动,请参考上图确认您安装的GPU驱动是否受该漏洞影响。
如何确认GPU节点的NVIDIA驱动版本
登录到您的GPU节点,执行如下命令,即可查看驱动版本。
[root@XXX36 bin]# ./nvidia-smi Fri Apr 16 10:28:28 2021 +-----------------------------------------------------------------------------+ | NVIDIA-SMI 460.32.03 Driver Version: 460.32.03 CUDA Version: 11.2 | |-------------------------------+----------------------+----------------------+ | GPU Name Persistence-M| Bus-Id Disp.A | Volatile Uncorr. ECC | | Fan Temp Perf Pwr:Usage/Cap| Memory-Usage | GPU-Util Compute M. | | | | MIG M. | |===============================+======================+======================| | 0 Tesla T4 Off | 00000000:21:01.0 Off | 0 | | N/A 68C P0 31W / 70W | 0MiB / 15109MiB | 0% Default | | | | N/A | +-------------------------------+----------------------+----------------------+ +-----------------------------------------------------------------------------+ | Processes: | | GPU GI CI PID Type Process name GPU Memory | | ID ID Usage | |=============================================================================| | No running processes found | +-----------------------------------------------------------------------------+
从上述输出的信息中,可以看到该节点的GPU驱动版本为460.32.03。
漏洞修复方案
请您根据漏洞影响范围,将节点升级到对应驱动版本进行漏洞修复:
若您升级了NVIDIA GPU驱动,需重启GPU节点,重启节点将会短暂影响您的业务。
- 如果节点驱动版本为418系列,请升级驱动至418.181.07版本。
- 如果节点驱动版本为450系列,请升级驱动至450.102.04版本。
- 如果节点驱动版本为460系列,请升级驱动至460.32.03版本。
如果您升级CCE集群节点的GPU驱动,可以升级gpu-beta插件或重装插件,并在安装插件时填写修复后的NVIDIA GPU驱动的下载地址即可。
相关链接
- 英伟达安全公告:https://nvidia.custhelp.com/app/answers/detail/a_id/5142
- Ubuntu安全公告:https://ubuntu.com/security/CVE-2021-1056
- CVE收录信息:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1056
- NVD收录信息:https://nvd.nist.gov/vuln/detail/CVE-2021-1056
- CVE PoC:https://github.com/pokerfaceSad/CVE-2021-1056
- GPUMounter:https://github.com/pokerfaceSad/GPUMounter