Se rendre au contenu

NVIDIA Container Toolkit (CVE-2024-0132, CVE-2024-0133)

21 octobre 2024 par
NVIDIA Container Toolkit (CVE-2024-0132, CVE-2024-0133)
Patois Thomas

Veille Cybersécurité : Vulnérabilités critiques dans le NVIDIA Container Toolkit impactant AWS

Dans le cadre de ma veille en cybersécurité, j'ai pris connaissance de deux nouvelles vulnérabilités critiques (CVE-2024-0132 et CVE-2024-0133) affectant le NVIDIA Container Toolkit version 1.16. Ces vulnérabilités, rendues publiques par AWS le 1er octobre 2024, touchent plusieurs services et nécessitent une attention particulière de la part des utilisateurs.

Services AWS impactés et actions recommandées

AWS a identifié les services suivants comme étant directement impactés par ces vulnérabilités :

Amazon Elastic Kubernetes Service (Amazon EKS)

AWS a publié des mises à jour pour les Amazon Machine Images (AMI) optimisées pour le GPU d'EKS. La version v20240928 de ces AMI inclut la version corrigée du NVIDIA Container Toolkit (v1.16.2).

  • Utilisateurs de groupes de nœuds managés : Suivez les instructions de la documentation EKS pour mettre à niveau vos groupes de nœuds.
  • Utilisateurs de Karpenter : Mettez à jour vos nœuds en suivant la documentation sur la dérive ou la sélection d'AMI.
  • Utilisateurs de nœuds worker autogérés : Remplacez les nœuds existants en suivant les instructions de la documentation EKS.

Bottlerocket

La version 1.24.0 de Bottlerocket, incluant la version corrigée du NVIDIA Container Toolkit (v1.16.2), est disponible. Il est fortement recommandé aux utilisateurs de Bottlerocket d'appliquer cette mise à jour ou une version plus récente.

Pour plus d'informations, consultez les ressources suivantes :

Recommandations générales

Au-delà des actions spécifiques à chaque service, je recommande fortement aux utilisateurs d'AWS de :

  • Se tenir informés des dernières mises à jour de sécurité publiées par AWS.
  • Appliquer les correctifs de sécurité dès que possible.
  • Mettre en place un processus de gestion des vulnérabilités robuste.

Informations complémentaires

Pour toute question ou commentaire concernant cet avis de sécurité, veuillez contacter l'équipe de sécurité AWS/Amazon via :

Lire suivant
Conférence SecNumEco