NVIDIA выпустила официальный бюллетень безопасности, в котором отмечаются многочисленные недостатки, обнаруженные в их драйверах для Windows и Linux. Хорошей новостью является то, что уже выпущены драйверы, которые устраняют проблемы, о подробно ниже.
Вот все те проблемы, которые затрагивают Linux, приготовьтесь, их довольно много:
- CVE-2022-34670 — NVIDIA GPU Display Driver для Linux содержит уязвимость в обработчике уровня режима ядра, где непривилегированный обычный пользователь может вызвать ошибки усечения при преобразовании примитива в примитив меньшего размера, что приводит к потере данных при преобразовании, что может привести к отказу в обслуживании или раскрытию информации.
- CVE-2022-42263 — Драйвер NVIDIA GPU Display Driver для Linux содержит уязвимость в обработчике уровня режима ядра, где целочисленное переполнение может привести к отказу в обслуживании или раскрытию информации.
- CVE-2022-34676 — Драйвер NVIDIA GPU Display Driver для Linux содержит уязвимость в обработчике уровня режима ядра, где чтение за пределами границ может привести к отказу в обслуживании, раскрытию информации или подделке данных.
- CVE-2022-42264 — Драйвер NVIDIA GPU Display Driver для Linux содержит уязвимость в уровне режима ядра, где непривилегированный обычный пользователь может вызвать использование смещения указателя за пределы диапазона, что может привести к подделке данных, потере данных, раскрытию информации или отказу в обслуживании.
- CVE-2022-34674 — Драйвер NVIDIA GPU Display Driver для Linux содержит уязвимость в обработчике уровня режима ядра, где вспомогательная функция отображает больше физических страниц, чем было запрошено, что может привести к неопределенному поведению или утечке информации.
- CVE-2022-34678 — Драйвер NVIDIA GPU Display Driver для Windows и Linux содержит уязвимость в уровне режима ядра, где непривилегированный пользователь может вызвать разыменование нулевого указателя, что может привести к отказу в обслуживании.
- CVE-2022-34679 — NVIDIA GPU Display Driver для Linux содержит уязвимость в обработчике уровня режима ядра, где необработанное возвращаемое значение может привести к разыменованию null-указателя, что может привести к отказу в обслуживании.
- CVE-2022-34680 — NVIDIA GPU Display Driver for Linux содержит уязвимость в обработчике уровня режима ядра, где усечение целого числа может привести к чтению за пределами границ, что может привести к отказу в обслуживании.
- CVE-2022-34677 — NVIDIA GPU Display Driver для Linux содержит уязвимость в обработчике уровня режима ядра, где непривилегированный обычный пользователь может вызвать усечение целого числа, что может привести к отказу в обслуживании или подделке данных.
- CVE-2022-34682 — Драйвер NVIDIA GPU Display Driver для Linux содержит уязвимость в уровне режима ядра, где непривилегированный обычный пользователь может вызвать разыменование нулевого указателя, что может привести к отказу в обслуживании.
- CVE-2022-42257 — Драйвер NVIDIA GPU Display Driver для Linux содержит уязвимость в уровне режима ядра (nvidia.ko), где целочисленное переполнение может привести к раскрытию информации, подделке данных или отказу в обслуживании.
- CVE-2022-42265 — NVIDIA GPU Display Driver для Linux содержит уязвимость в уровне режима ядра (nvidia.ko), где целочисленное переполнение может привести к раскрытию информации или фальсификации данных.
- CVE-2022-34684 — Драйвер NVIDIA GPU Display Driver для Linux содержит уязвимость в уровне режима ядра (nvidia.ko), где ошибка off-by-one может привести к подделке данных или раскрытию информации.
- CVE-2022-42254 — Драйвер NVIDIA GPU Display Driver для Linux содержит уязвимость в уровне режима ядра (nvidia.ko), где доступ к массиву за пределами границ может привести к отказу в обслуживании, подделке данных или раскрытию информации.
- CVE-2022-42258 — Драйвер NVIDIA GPU Display Driver для Linux содержит уязвимость в уровне режима ядра (nvidia.ko), где целочисленное переполнение может привести к отказу в обслуживании, подделке данных или раскрытию информации.
- CVE-2022-42255 — Драйвер NVIDIA GPU Display Driver для Linux содержит уязвимость в уровне режима ядра (nvidia.ko), где доступ к массиву за пределами границ может привести к отказу в обслуживании, раскрытию информации или фальсификации данных.
- CVE-2022-42256 — Драйвер NVIDIA GPU Display Driver для Linux содержит уязвимость в уровне режима ядра (nvidia.ko), где целочисленное переполнение при проверке индексов может привести к отказу в обслуживании, раскрытию информации или фальсификации данных.
- CVE-2022-34673 — Драйвер NVIDIA GPU Display Driver для Linux содержит уязвимость в уровне режима ядра (nvidia.ko), где доступ к массиву за пределами границ может привести к отказу в обслуживании, раскрытию информации или фальсификации данных.
- CVE-2022-42259 — NVIDIA GPU Display Driver for Linux содержит уязвимость в уровне режима ядра (nvidia.ko), где целочисленное переполнение может привести к отказу в обслуживании.
Есть также несколько уязвимостей в NVIDIA VGPU, они влияют на работу Tesla. Некоторые проблемы, которые влияют только на Windows, это не специфическая для Linux вещь, но многие из них находятся и в драйверах для Linux.
Как уже упоминалось, хорошей новостью является то, что уже выпущены драйверы, которые решают эти проблемы. Для пользователей GeForce вам нужны минимальные версии драйверов 525.60.11, 515.86.01, 510.108.03, 470.161.03 или 390.157. Для RTX, Quadro или NVS вам нужна минимальная версия драйвера 525.60.11, 515.86.01, 510.108.03, 470.161.03 или 390.157. Проще говоря, если вы не используете самые последние драйверы NVIDIA любой серии — обновите их сейчас, все предыдущие версии уязвимы к драйверам, выпущенным 22 ноября.
Судя по странице бюллетеня, проблемы были обнародованы 28 ноября, но, похоже, они только сейчас выпустили бюллетень безопасности по электронной почте.
Источник: https://www.gamingonlinux.com/