NVIDIA, şu anda dünya çapında çok çeşitli saldırılarda kullanılan Log4Shell güvenlik açığından hangi ürünlerin etkilendiğini ayrıntılandıran bir güvenlik danışma belgesi yayınladı.
Kapsamlı bir araştırmadan sonra NVIDIA, Log4j güvenlik açıklarının aşağıdaki ürünleri etkilemediği sonucuna vardı:
- GeForce Experience client software
- GeForceNOW client software
- GPU Display Drivers for Windows
- L4T Jetson Products
- SHIELD TV
NVIDIA, son kullanıcı uygulamaları etkilenmese de, bazı NVIDIA kurumsal uygulamaları Apache Log4j’den etkilendiği ve güncellenmesi gerektiğini belirtiyor.
- Nsight Eclipse Edition versions below 11.0 are vulnerable to CVE-2021-33228 and CVE-2021-45046 and are fixed in version 11.0 or later.
- NetQ is vulnerable to CVE-2021-33228, CVE-2021-45046, and CVE-2021-45105 on versions 2.x, 3.x, and 4.0.x. As such, users are advised to upgrade to NetQ 4.1.0 or later.
- vGPU Software License Server is impacted by CVE-2021-33228 and CVE-2021-45046 on versions 2021.07 and 2020.05 Update 1. The recommended practice in these cases is to follow this mitigation guide.
NVIDIA ayrıca CUDA Toolkit Visual Profiler’ın Log4j dosyalarını içerdiğini ancak uygulamanın bunları kullanmadığı konusunda uyarıyor. Bu dosyaları kaldırmak için Ocak 2022’de güncellenmiş bir sürüm yayınlanacağını belirtiyor.
Son olarak, varsayılan olarak DGX Systems, Log4j kitaplığı ile birlikte gelmez, ancak NVIDIA, bazı kullanıcıların onu kendileri kurmuş olabileceği konusunda uyarır. Bu durumlarda, kullanıcılara kitaplığın mevcut en son sürümüne güncelleme yapmaları veya tamamen kaldırmalarını öneriyor.
Kaynak: bleepingcomputer.com