NVIDIA GPU驱动漏洞公告（CVE-2021-1056）

漏洞详情

NVIDIA公布了关于NVIDIA GPU驱动的一个漏洞CVE-2021-1056，该漏洞是存在于NVIDIA GPU驱动程序中与设备隔离相关的安全漏洞。当容器以非特权模式启动，攻击者利用这个漏洞，通过在容器中创建特殊的字符设备文件后，能够获取宿主机上所有GPU设备的访问权限。

关于漏洞的详细信息，请参见CVE-2021-1056。

如果您的CCE集群中存在GPU（ECS）节点，并使用了CCE推荐的NVIDIA GPU驱动版本（Tesla 396.37），按照目前NVIDIA官方公告判断暂不受影响；如果您自行安装或更新过节点上的NVIDIA GPU驱动，则可能存在该漏洞。

漏洞影响

按照NVIDIA官方给出的漏洞公告信息，目前受影响的NVIDIA GPU驱动版本如下图所示：

更多信息，请参见NVIDIA官网。

影响说明：

• 云容器引擎CCE集群和gpu-beta插件推荐安装的NVIDIA GPU驱动，尚未出现在NVIDIA官方信息中。如果将来有新的官方信息变化，我们将及时跟进帮助您升级修复。
• 如果您是自行选择安装的NVIDIA GPU驱动或更新过节点上的GPU驱动，请参考上图确认您安装的GPU驱动是否受该漏洞影响。

如何确认GPU节点的NVIDIA驱动版本

登录到您的GPU节点，执行如下命令，即可查看驱动版本。

[root@XXX36 bin]# ./nvidia-smi 
Fri Apr 16 10:28:28 2021       
+-----------------------------------------------------------------------------+
| NVIDIA-SMI 460.32.03    Driver Version: 460.32.03    CUDA Version: 11.2     |
|-------------------------------+----------------------+----------------------+
| GPU  Name        Persistence-M| Bus-Id        Disp.A | Volatile Uncorr. ECC |
| Fan  Temp  Perf  Pwr:Usage/Cap|         Memory-Usage | GPU-Util  Compute M. |
|                               |                      |               MIG M. |
|===============================+======================+======================|
|   0  Tesla T4            Off  | 00000000:21:01.0 Off |                    0 |
| N/A   68C    P0    31W /  70W |      0MiB / 15109MiB |      0%      Default |
|                               |                      |                  N/A |
+-------------------------------+----------------------+----------------------+

+-----------------------------------------------------------------------------+
| Processes:                                                                  |
|  GPU   GI   CI        PID   Type   Process name                  GPU Memory |
|        ID   ID                                                   Usage      |
|=============================================================================|
|  No running processes found                                                 |
+-----------------------------------------------------------------------------+

漏洞修复方案

请您根据漏洞影响范围，将节点升级到对应驱动版本进行漏洞修复：

若您升级了NVIDIA GPU驱动，需重启GPU节点，重启节点将会短暂影响您的业务。

• 如果节点驱动版本为418系列，请升级驱动至418.181.07版本。
• 如果节点驱动版本为450系列，请升级驱动至450.102.04版本。
• 如果节点驱动版本为460系列，请升级驱动至460.32.03版本。

如果您升级CCE集群节点的GPU驱动，可以升级gpu-beta插件或重装插件，并在安装插件时填写修复后的NVIDIA GPU驱动的下载地址即可。

相关链接

• 英伟达安全公告：https://nvidia.custhelp.com/app/answers/detail/a_id/5142
• Ubuntu安全公告：https://ubuntu.com/security/CVE-2021-1056
• CVE收录信息：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1056
• NVD收录信息：https://nvd.nist.gov/vuln/detail/CVE-2021-1056
• CVE PoC：https://github.com/pokerfaceSad/CVE-2021-1056
• GPUMounter：https://github.com/pokerfaceSad/GPUMounter