英伟达(NVIDIA)披露受Log4j漏洞影响的应用最近披露的Log4Shell漏洞正在全球范围内被大量攻击所利用。对此,不少企业都做出了安全警示。据BleepingComputer报道,NVIDIA发布了一份安全公告,详细说明了哪些产品容易受到Log4Shell漏洞的攻击。经过深入调查,NVIDIA认为Log4j漏洞不会影响以下产品。GeForceExperience客户端软件;GeForceNOW客户端软件;适用于Windows的GPU显示驱动程序;L4T杰森产品;屏蔽电视。Log4Shell漏洞的影响根据NVIDIA发布的公告,虽然其消费类应用可能不受该漏洞影响,但部分NVIDIA企业应用包含ApacheLog4j,需要更新:NsightEclipseEdition11.0之前存在CVE-2021漏洞-33228和CVE-2021-45046漏洞,但这些漏洞已在11.0或更高版本中得到修复;NetQ存在CVE-2021-33228、CVE-2021-45046和CVE-2021-45105漏洞,建议用户升级到NetQ4.1.0或更高版本;vGPU软件许可证服务器极易受到CVE-2021-33228和CVE在版本2021.07和2020.05Update1-2021-45046漏洞的影响。NVIDIA表示,CUDAToolkitVisualProfiler包含Log4j文件,虽然该应用程序不使用这些文件,但将于2022年1月发布更新版本以删除它们。另外,默认情况下,DGX系统并没有自带Log4j库,不用担心,但可能有些用户自己安装了。在这些情况下,建议用户更新到库的最新可用版本,或将其完全删除。NVIDIA的调查仍在进行中,调查范围包括上述列表中未列为受影响或未受影响的任何产品或服务。反观GPU市场的另一位“霸主”AMD,已经确认其产品不受Log4shell漏洞的影响。不幸的是,许多其他公司的产品受到影响,因此建议他们应对易受攻击的软件进行全面审计,尤其是暴露在互联网上的软件。GeForceExperience更新NVIDIA发布了NVIDIAGeForceExperience软件的安全更新,解决了CVE-2021-23175漏洞(CVSSv3评分:8.2)。该漏洞是一种用户授权问题,可导致权限提升、信息泄露、数据篡改和拒绝服务。GeForceExperience是一款配套应用,可帮助用户更新其GPU驱动程序、优化游戏设置等。不使用该应用程序来增强游戏性能的用户可以安全地将其从系统中删除,以确保暂时减少一个安全风险。参考文章;https://www.bleepingcomputer.com/news/security/nvidia-discloses-applications-impacted-by-log4j-vulnerability/
