محصولات ان‌ویدیا و اچ‌پی، تحت تأثیر آسیب پذیری‌های Log4j

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir nvidia hpe products affected log4j vulnerabilities 1
شرکت‌های ان‌ویدیا (NVIDIA) و اچ‌پی (HPE) تأیید کرده‌اند که برخی از محصولات آن‌ها تحت تأثیر آسیب‌پذیری‌های ابزار لاگینگ Apache Log4j که به تازگی افشا شده‌اند، قرار دارند.

در مجموع سه آسیب‌پذیری در این ابزار شناسایی شد (شامل CVE-۲۰۲۱-۴۴۲۲۸ (با نام مستعار Log4Shell)، CVE-۲۰۲۱-۴۵۰۴۶ و CVE-۲۰۲۱-۴۵۱۰۵) و حداقل دو مورد از آن‌ها در حملات مخرب مورد سواستفاده قرار گرفته‌اند.

مدت کوتاهی پس از عمومی شدن این مشکلات، NVIDIA و HPE شروع به بررسی این موضوع کردند که کدام یک از محصولاتشان تحت تأثیر قرار گرفته است، و هر دو پچ‌ها و اقدامات کاهشی را برای رفع باگ‌ها یا جلوگیری از تلاش‌های بالقوه برای بهره‌برداری از این آسیب‌پذیری‌ها منتشر کرده‌اند.

در یک توصیه نامه امنیتی بروزرسانی شده در روز چهارشنبه، NVIDIA تأیید کرد که نقص‌های امنیتی Log4j بر CUDA Toolkit Visual Profiler و Nsight Eclipse Edition، NetQ و سرور لایسنس نرم‌افزار vGPU تأثیر می‌گذارد.

این شرکت همچنین خاطرنشان می‌کند، در حالی که سیستم‌های DGX شامل لایبرری Log4j جاوا نمی‌شود، کاربران ممکن است ابزار آسیب‌پذیر را به عنوان نرم‌افزاری اضافی نصب کرده باشند. بنابراین، انویدیا تصمیم گرفت تا اصلاحاتی را برای چندین نسخه سیستم عامل DGX نیز منتشر نماید.

نرم‌افزار سرویس کلاینت GeForce Experience و GeForceNOW NVIDIA، درایور‌های نمایشگر GPU برای ویندوز و لینوکس، محصولات L4T Jetson، تلویزیون SHIELD و محصولات شبکه (به جز NetQ) تحت تأثیر این آسیب‌پذیری‌ها قرار نمی‌گیرند.

از سوی دیگر، اچ‌پی می‌گوید که برخی از محصولاتش نیز تحت تأثیر CVE-۲۰۲۱-۴۱۰۴ هستند؛ یک آسیب‌پذیری نامطمئن و مخرب داده که می‌تواند توسط مهاجم با دسترسی به پیکربندی Log4j فعال شود و منجر به اجرای کد از راه دور می‌شود (فقط Log4j 1.2 برای استفاده از JMSAppender پیکربندی شده است).

این شرکت تقریباً ۶۰ محصول را شناسایی کرده است که از لایبرری آسیب‌پذیر استفاده می‌کنند و قبلاً اعلامیه‌های امنیتی (شامل پچ‌ها و اقدامات کاهش مخاطرات) و بولتنهای امنیتی را برای آن‌ها منتشر کرده است.

شرکت‌های NVIDIA و HPE تنها دو شرکت از تمامی شرکت‌هایی هستند که احتمالاً تحت تأثیر آسیب‌پذیری‌های Log4j قرار دارند. در اوایل این هفته، Google اعلام کرد ۳۶۰۰۰ پکیج جاوا را در رپوزیتوری مرکزی Maven شناسایی کرده است که هنوز از نسخه‌های آسیب‌پذیر Log4j استفاده می‌نمایند.

برچسب ها: Hewlett Packard Enterprise, NetQ, HPE, HP, اچ پی, ان ویدیا, Apache Log4j, Log4j, Log4Shell, Maven, NVIDIA, apache, لینوکس, cybersecurity, آسیب‌پذیری, windows, ویندوز, GPU, گوگل, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ