Kritische Sicherheitslücke in NVIDIA Base Command Manager

Am 18. November 2024 veröffentlichte NVIDIA ein Sicherheitsupdate für den Base Command Manager (BCM), um eine kritische Sicherheitslücke zu schließen. Dieser Artikel fasst die Details der Sicherheitsanfälligkeit, die betroffenen Versionen und die empfohlenen Maßnahmen zur Risikominderung zusammen. Betroffen sind Versionen von 10.24.07 bis 10.24.09.

Die entdeckte Sicherheitslücke mit der Kennung CVE-2024-0138 betrifft den CMDaemon-Komponenten des NVIDIA Base Command Managers. Dabei handelt es sich um eine Schwachstelle, die ohne Authentifizierung ausgenutzt werden kann.

Die Fehlende Authentifizierung im CMDaemon kann von Angreifern ausgenutzt werden, um:

  • Code auszuführen,

  • Denial-of-Service-Angriffe zu starten,

  • Privilegieneskalation durchzuführen,

  • Zugriff auf sensible Informationen zu erlangen und

  • Daten zu manipulieren.

  • CVSS-Bewertung: 9.8 (Kritisch)
    Angriffsvektor: Netzwerk
    Angriffs-Komplexität: Niedrig
    Privilegien erforderlich: Keine
    Benutzereingriff: Nicht erforderlich
    Sicherheitsauswirkung:

    • Vertraulichkeit: Hoch
    • Integrität: Hoch
    • Verfügbarkeit: Hoch
  • CWE-Kategorie: CWE-862 (Fehlende Autorisierung)

NVIDIA empfiehlt dringend, die folgenden Schritte auszuführen, um die Schwachstelle zu beheben.

Related Posts

Sicherheitsrisiko in Versa Director: Standardpasswort und PostgreSQL-Fehlkonfiguration

Eine kritische Sicherheitslücke CVE-2024-42450 wurde in der Standardkonfiguration der Virtualisierungsplattform Versa Director entdeckt. Dieses Problem betrifft die PostgreSQL-Datenbank, die für die Speicherung von Betriebs- und Konfigurationsdaten sowie für die High-Availability-Funktionalität des Systems genutzt wird. Die Schwachstelle kombiniert ein Standardpasswort, das in allen Instanzen von Versa Director verwendet wird, mit einer unsicheren Konfiguration, die PostgreSQL erlaubt, auf alle Netzwerkinterfaces zu lauschen.

Read More

Exploit für unpatchte Citrix-Sicherheitslücke bekannt geworden

Anfang November 2024 hat Watchtowr Labs Details zu einer noch nicht gepatchten Sicherheitslücke in Citrix’ Remote-Zugriffs-Lösung veröffentlicht. Diese Schwachstelle betrifft speziell Citrix Virtual Apps and Desktops, eine Lösung, die häufig für sicheren Remote-Zugang zu Desktop-Anwendungen verwendet wird – etwa in Call-Center-Umgebungen.

Read More

CVE-2024-10220: Kritische Sicherheitslücke in Kubernetes durch gitRepo-Volume

Am 20. November 2024 wurde CVE-2024-10220 öffentlich bekanntgegeben, eine Sicherheitslücke in Kubernetes, die als kritisch eingestuft wurde. Sie betrifft das gitRepo-Volume, ein veraltetes Feature, das es Angreifern ermöglichen könnte, beliebige Befehle außerhalb der Container-Grenzen auszuführen. Im Folgenden eine detaillierte Analyse dieser Schwachstelle, ihrer Auswirkungen und wie sie behoben werden kann.

Read More