ΑρχικήsecurityNVIDIA: Αποκαλύπτει τα προϊόντα που επηρεάζονται από το Log4j bug

NVIDIA: Αποκαλύπτει τα προϊόντα που επηρεάζονται από το Log4j bug

Η NVIDIA κυκλοφόρησε ένα security advisory στο οποίο περιγράφει λεπτομερώς ποια προϊόντα επηρεάζονται από την ευπάθεια Log4Shell (CVE-2021-4428), την κρίσιμη ευπάθεια που ανακαλύφθηκε πρόσφατα στην Apache Log4j Java-based logging πλατφόρμα (και άλλες δύο ευπάθειες στην ίδια πλατφόρμα- CVE-2021-45046 και CVE-2021-45105). Η ευπάθεια χρησιμοποιείται ήδη από πολλούς εγκληματίες του κυβερνοχώρου για την πραγματοποίηση ποικίλων malware επιθέσεων.

NVIDIA Log4j

Μετά από ενδελεχή έρευνα, η NVIDIA κατέληξε στο συμπέρασμα ότι η ευπάθεια Log4j δεν επηρεάζει τα ακόλουθα προϊόντα:

  • GeForce Experience client software
  • GeForceNOW client software
  • GPU Display Drivers for Windows
  • L4T Jetson Products
  • SHIELD TV

Δείτε επίσης: Η ευπάθεια Log4j Log4Shell χρησιμοποιείται για την εγκατάσταση του Dridex banking trojan

NVIDIA: Επίδραση της ευπάθειας Log4j Log4Shell

Ενώ τα consumer applications της NVIDIA δεν επηρεάζονται, ορισμένα enterprise applications περιλαμβάνουν το Apache Log4j και πρέπει να ενημερωθούν:

  • Nsight Eclipse Edition: εκδόσεις κάτω την 11.0 είναι ευάλωτες στα CVE-2021-33228 και CVE-2021-45046 και έχουν διορθωθεί στην έκδοση 11.0 ή σε νεότερη.
  • NetQ: είναι ευάλωτο στα CVE-2021-33228, CVE-2021-45046 και CVE-2021-45105 στις εκδόσεις 2.x, 3.x και 4.0.x. Ως εκ τούτου, οι χρήστες καλούνται να κάνουν αναβάθμιση σε NetQ 4.1.0 ή μεταγενέστερη έκδοση.
  • vGPU Software License Server: επηρεάζεται από τα CVE-2021-33228 και CVE-2021-45046 στις εκδόσεις 2021.07 και 2020.05 Update 1. Σε αυτές τις περιπτώσεις καλό είναι να ακολουθήσετε αυτόν τον οδηγό.

Δείτε επίσης: Το TellYouThePass ransomware εκμεταλλεύεται την ευπάθεια Log4Shell

Η NVIDIA προειδοποιεί επίσης ότι το CUDA Toolkit Visual Profiler περιλαμβάνει Log4j files αλλά η εφαρμογή δεν τα χρησιμοποιεί. Μια ενημερωμένη έκδοση θα κυκλοφορήσει τον Ιανουάριο του 2022 για την κατάργηση αυτών των αρχείων.

Τέλος, από προεπιλογή, το DGX Systems δεν συνοδεύεται από το Log4j library, αλλά η NVIDIA προειδοποιεί ότι ορισμένοι χρήστες μπορεί να το έχουν εγκαταστήσει μόνοι τους. Σε αυτές τις περιπτώσεις, συνιστάται στους χρήστες να ενημερώσουν στην πιο πρόσφατη διαθέσιμη έκδοση της βιβλιοθήκης ή να την αφαιρέσουν εντελώς.

NVIDIA Log4Shell

Η NVIDIA συνεχίζει να κάνει έρευνα για να ανακαλύψει άλλα προϊόντα ή υπηρεσίες που μπορεί να επηρεάζονται από την κρίσιμη ευπάθεια στο Log4j.

Από την άλλη, η AMD επιβεβαίωσε ότι κανένα από τα προϊόντα της δεν επηρεάζεται από το Log4shell exploit.

Δείτε επίσης: Η Apache κυκλοφορεί νέο 2.17.0 patch για το Log4j

Δυστυχώς, επηρεάζονται πολλά άλλα προϊόντα, επομένως όλοι οι οργανισμοί πρέπει να ελέγξουν τα λογισμικά τους και να τα ενημερώσουν.

Ακόμα και οι ευάλωτες εσωτερικές εφαρμογές πρέπει να ενημερωθούν, καθώς οι εγκληματίες χρησιμοποιούν την ευπάθεια Log4Shell για να εξαπλωθούν μέσα στα δίκτυα για την ανάπτυξη ransomware.

Πηγή: Bleeping Computer

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS