NVIDIA Base Command Manager身份验证缺失漏洞CVE-2024-0138

NVIDIA Base Command Manager 是NVIDIA提供的管理工具，专为加速计算和AI工作负载的开发和部署设计，适用于AI和 HPC集群管理。

NVIDIA Base Command Manager 为边缘、数据中心以及多云和混合云环境异构 AI 和高性能计算 (HPC) 集群提供快速部署和端到端管理。

可自动调配和管理集群，规模从几个节点到数十万个节点不等，支持 NVIDIA GPU 加速系统和其他系统，并支持与 Kubernetes 进行编排。

一、基本情况

NVIDIA Base Command Manager 用于快速构建和管理高性能 Linux 集群，支持从核心到边缘再到云的 HPC、机器学习和分析应用程序。

NVIDIA Base Command Manager是异构环境的理想选择，支持 NVIDIA GPU 加速基础架构、NVIDIA DGX系统和Arm和x86 的CPU节点。

NVIDIA Base Command Manager 是在生产环境中部署和管理 HPC 和 AI 集群的理想选择，已经经过数千次部署和企业级的验证和支持。

CMDaemon 组件是该管理工具中的核心后台服务，主要负责协调系统资源、管理任务调度，以及提供与外部工具和用户接口的通信支持。

栋科技漏洞库关注到NVIDIA于2024年11月18日安全公告，披露一个NVIDIA Base Command Manager身份验证缺失漏洞CVE-2024-0138。

二、漏洞分析

CVE-2024-0138漏洞是NVIDIA Base Command Manager版本 10.24.09 中CMDaemon组件的身份验证缺失漏洞，该漏洞CVSS评分为9.8。

未经身份验证攻击者利用漏洞向未受保护的接口/功能发送恶意请求或命令，导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。

NVIDIA证实包括10.24.07和更早版本在内的早期版本不受此漏洞的影响，并建议更新所有的Head nodes和软件映像上的CMDaemon组件。

应用更新后应当重新启动系统或与更新后的软件映像重新同步，以确保完全实施修复， 这对消除漏洞和保护系统免受潜在攻击至关重要。

三、影响范围

NVIDIA Base Command Manager 10.24.09

四、修复建议

目前该漏洞已经修复，受影响用户可升级到NVIDIA Base Command Manager 10.24.09a或更高版本。

五、参考链接

https://nvidia.custhelp.com/app/answers/detail/a_id/5595