Conheça os aplicativos da NVIDIA afetados pela vulnerabilidade Log4j

Conheça os aplicativos da NVIDIA afetados pela vulnerabilidade Log4j, divulgados pela própria empresa por meio de um comunicado de segurança.

A NVIDIA lançou um comunicado de segurança detalhando quais produtos são afetados pela vulnerabilidade Log4Shell que é atualmente explorada em uma ampla gama de ataques em todo o mundo.

Conheça os aplicativos da NVIDIA afetados pela vulnerabilidade Log4j

Conheça os aplicativos da NVIDIA afetados pela vulnerabilidade Log4j
Conheça os aplicativos da NVIDIA afetados pela vulnerabilidade Log4j

Sim. Depois de fazer uma investigação completa, a NVIDIA concluiu que as vulnerabilidades do Log4j não afetam os seguintes produtos:

  • Software cliente GeForce Experience
  • Software cliente GeForceNOW
  • Drivers de vídeo GPU para Windows
  • Produtos L4T Jetson
  • SHIELD TV

Embora os aplicativos de consumidor NVIDIA não sejam afetados, alguns aplicativos empresariais NVIDIA incluem Apache Log4j e precisam ser atualizados:

  • As versões do Nsight Eclipse Edition abaixo de 11.0 são vulneráveis ​​a CVE-2021-33228 e CVE-2021-45046 e são corrigidas na versão 11.0 ou posterior.
  • NetQ é vulnerável a CVE-2021-33228, CVE-2021-45046 e CVE-2021-45105 nas versões 2.x, 3.xe 4.0.x. Como tal, os usuários são aconselhados a atualizar para o NetQ 4.1.0 ou posterior.
  • O servidor de licença de software vGPU é afetado por CVE-2021-33228 e CVE-2021-45046 nas versões 2021.07 e 2020.05 Atualização 1. A prática recomendada nesses casos é seguir este guia de mitigação.

A NVIDIA também avisa que o CUDA Toolkit Visual Profiler inclui arquivos Log4j, mas que o aplicativo não os está usando. Uma versão atualizada está sendo lançada em janeiro de 2022 para remover esses arquivos.

“O Log4j está incluído no CUDA Toolkit. No entanto, ele não está sendo usado e não há risco para os usuários que possuem os arquivos Log4j”, explica o aviso de segurança da NVIDIA.

“Como eles não estão sendo usados, uma atualização está sendo preparada para remover os arquivos Log4j do CUDA Toolkit. Se preocupado, os clientes podem excluir os arquivos com segurança como uma mitigação.”

Finalmente, por padrão, o DGX Systems não vem com a biblioteca Log4j, mas a NVIDIA avisa que alguns usuários podem tê-la instalado por conta própria.

Nesses casos, os usuários são aconselhados a atualizar para a versão mais recente disponível da biblioteca ou removê-la completamente.

A investigação da NVIDIA ainda está em andamento e diz respeito a quaisquer produtos ou serviços que não foram listados como afetados ou não impactados nas listas acima.

Em contraste, o outro jogador importante no mercado de GPU, a AMD, confirmou que nenhum de seus produtos foi afetado pelo exploit Log4shell.

Infelizmente, muitos outros produtos são afetados, portanto, todas as organizações devem realizar uma auditoria completa de seus softwares vulneráveis, especialmente aqueles expostos à Internet.

No entanto, mesmo os aplicativos internos vulneráveis ​​precisam ser atualizados, já que os agentes de ameaças usam a vulnerabilidade Log4Shell para se espalhar lateralmente nas redes para implantar ransomware.

Embora não relacionado ao Log4j, a NVIDIA lançou uma atualização de segurança para o software NVIDIA GeForce Experience, abordando CVE-2021-23175 (pontuação CVSS v3: 8,2).

Esta vulnerabilidade é um problema de autorização do usuário que pode levar ao aumento de privilégios, divulgação de informações, violação de dados e negação de serviço.

Todas as versões anteriores a 3.24.0.126 são afetadas por esta falha de alta gravidade. Iniciar o software aciona uma atualização automática.

GeForce Experience é um aplicativo complementar que ajuda os usuários a atualizar seus drivers de GPU, otimizar as configurações do jogo, etc. No entanto, os usuários sempre podem obter atualizações de driver diretamente do site da NVIDIA e instalá-las manualmente.

Isso significa que, se você não usar o aplicativo para melhorias de desempenho em jogos, você pode removê-lo com segurança do seu sistema e ter uma preocupação a menos com a segurança por enquanto.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.