近期披露的Log4Shell漏洞，正在全球范圍內(nèi)被大量攻擊利用。對此，許多公司做出了安全預(yù)警。根據(jù)Bleeping Computer網(wǎng)站消息，英偉達(dá)(NVIDIA)公司發(fā)布了一份安全公告，詳細(xì)說明了哪些產(chǎn)品易受到Log4Shell漏洞影響。

經(jīng)過徹底調(diào)查，NVIDIA認(rèn)為Log4j漏洞不會對以下幾款產(chǎn)品造成影響。

• GeForce Experience 客戶端軟件;
• GeForceNOW 客戶端軟件;
• 用于 Windows 的 GPU 顯示驅(qū)動程序;
• L4T Jetson 產(chǎn)品;
• SHIELD TV。

Log4Shell漏洞的影響

根據(jù)英偉達(dá)發(fā)布的公告可以看出，雖然其消費者應(yīng)用程序可能不會受到漏洞影響，但一些NVIDIA企業(yè)應(yīng)用程序中包含了Apache Log4j，需要進(jìn)行更新：

• 低于 11.0 版本的 Nsight Eclipse Edition 容易受到 CVE-2021-33228 和 CVE-2021-45046 漏洞影響，但是在 11.0 或更高版本中已經(jīng)修復(fù)了這些漏洞;
• NetQ 在 2.x、3.x 和 4.0.x 版本上存在 CVE-2021-33228、CVE-2021-45046 和CVE-2021-45105 漏洞，建議用戶升級到 NetQ 4.1.0 或更高版本;
• vGPU 軟件許可服務(wù)器在 2021.07 和 2020.05 Update 1 版本上極易受到 CVE-2021-33228和CVE-2021-45046 漏洞的影響。

NVIDIA 稱 CUDA Toolkit Visual Profiler 包括 Log4j 文件，雖然該應(yīng)用程序沒有使用這些文件，依舊會在2022年1月發(fā)布一個更新的版本，以刪除這些文件。另外，在默認(rèn)情況下，DGX 系統(tǒng)沒有附帶Log4j庫，不必?fù)?dān)心，但一些用戶可能已經(jīng)自己安裝了它。在這些情況下，建議用戶更新到該庫的最新可用版本，或者完全刪除它。

英偉達(dá)的調(diào)查仍在進(jìn)行中，包含了上述清單中未被列為受影響或未受影響的任何產(chǎn)品或服務(wù)。

相比之下，GPU市場的另一“霸主”AMD已經(jīng)確認(rèn)，其產(chǎn)品沒有受到Log4shell漏洞的影響。

不幸的是，許多其他企業(yè)的產(chǎn)品都受到影響，因此建議其應(yīng)該對易受攻擊的軟件進(jìn)行全面審計，尤其是暴露在互聯(lián)網(wǎng)上的軟件。

GeForceExperience更新

NVIDIA發(fā)布了NVIDIA GeForce Experience軟件安全更新，解決了CVE-2021-23175 漏洞問題(CVSS v3評分：8.2)。

該漏洞是一個用戶授權(quán)問題，可導(dǎo)致權(quán)限升級、信息泄露、數(shù)據(jù)篡改和拒絕服務(wù)。

GeForce Experience 是一個配套的應(yīng)用程序，可以幫助用戶更新其GPU驅(qū)動程序，優(yōu)化游戲設(shè)置等。用戶如果不使用該應(yīng)用程序來提升游戲性能，可以安全地從系統(tǒng)中刪除，確保暫時少一個安全隱患。

參考文章;

https://www.bleepingcomputer.com/news/security/nvidia-discloses-applications-impacted-by-log4j-vulnerability/