輝達Container Toolkit與GPU Operator重大漏洞曝光！CVSS最高9.0喻盡快完成更新

記者孫敬／編譯

輝達（NVIDIA） 近日發布了兩項關鍵安全更新，主要修補旗下Container Toolkit和GPU Operator發現的兩項漏洞「CVE-2025-23266」和「CVE-2025-23267」，影響範圍涵蓋所有運行NVIDIA Container Toolkit 1.17.7版本及以下，以及GPU Operator 25.3.0版本及以下的所有平台。資安專家指出，這些漏洞將可能導致包含特權提升（Privilege escalation）、資料竄改、資訊洩露，甚至阻斷服務（DoS）攻擊。

延伸閱讀：台積電第二季營收創史上最強成績！魏哲家看旺AI、輝達H20解禁

危險漏洞解析：最高CVSS 9.0，可遠端執行惡意程式碼

兩項漏洞中最為嚴重的為CVE-2025-23266，CVSS v3.1基本評分達9.0，被歸類為「關鍵」嚴重性。此漏洞存在於部分用於初始化容器的「hooks」（掛鉤）中，攻擊者可藉此以提升的權限執行任意程式碼。其攻擊向量被描述為「AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H」，這表示駭客能透過鄰近網路存取，以低複雜度的攻擊手法達成目的。該漏洞歸類於 CWE-426，與不信任的搜尋路徑問題有關。

第二個漏洞CVE-2025-23267則被評為「高」嚴重性，CVSS評分為8.5。此缺陷影響「update-ldcache hook」，攻擊者可利用特別製作的容器映像檔，進行「連結追蹤攻擊」（link following attacks）。該漏洞歸類於CWE-59，代表檔案存取前不當的連結解析問題。

輝達呼籲儘速更新：修補方案與臨時緩解措施出爐

為應對這些潛在威脅，輝達已發布了更新版本。使用NVIDIA Container Toolkit的用戶，需要將其更新至1.17.8版本（適用於1.17.7及以下的所有先前版本）。針對Linux平台上的NVIDIA GPU Operator用戶，則必須將其升級至25.3.1版本（適用於25.3.0及以下的所有版本）。值得注意的是，CDI模式漏洞僅影響Container Toolkit 1.17.5之前的版本，以及GPU Operator 25.3.0之前的版本。

此外，輝達也提供了立即性的臨時緩解措施，企業可透過禁用易受攻擊的enable-cuda-compat hook來降低風險。對於NVIDIA Container Runtime用戶，這項操作涉及編輯 /etc/nvidia-container-toolkit/config.toml文件，並將features.disable-cuda-compat-lib-hook 功能標誌設定為true。至於GPU Operator用戶，則可透過Helm安裝參數來處理。

輝達強烈建議所有用戶按照官方NVIDIA Container Toolkit和GPU Operator文件中的說明，安裝最新的安全更新，以確保系統安全。

資料來源：Cyber Security News