NVIDIA ve HPE Ürünleri Log4j Güvenlik Açıklarından Etkilendi
NVIDIA ve Hewlett Packard Enterprise (HPE), ürünlerinin bazılarının Apache Log4j günlük kaydı yardımcı programında yakın zamanda açıklanan güvenlik açıklarından etkilendiğini onayladı.
Yardımcı programda CVE-2021-44228 (diğer adıyla Log4Shell), CVE-2021 45046 ve CVE‑2021‑45105 olmak üzere toplam üç güvenlik açığı belirlendi ve bunlardan en az ikisi kötü niyetli saldırılarda kullanıldı.
Sorunlar kamuoyuna açıklandıktan kısa bir süre sonra, NVIDIA ve HPE, hangi ürünlerinin etkilendiğini araştırmaya başladı ve her ikisi de, hataları gidermek veya olası kötüye kullanım girişimlerini önlemek için yamalar ve hafifletmeler yayınladı.
Çarşamba günü güncellenen bir danışma belgesinde NVIDIA, Log4j güvenlik kusurlarının CUDA Toolkit Visual Profiler ve Nsight Eclipse Edition, NetQ ve vGPU Software License Server'ı etkilediğini doğruladı.
Şirket ayrıca, DGX Sistemleri Log4j Java kitaplığını içermese de, kullanıcıların güvenlik açığı bulunan yardımcı programı ek yazılım olarak yüklemiş olabileceğini de belirtiyor. Böylece NVIDIA, birden fazla DGX OS sürümü için de düzeltmeler yayınlamaya karar verdi.
NVIDIA'nın GeForce Experience ve GeForceNOW istemci yazılımı, Windows ve Linux için GPU Ekran Sürücüleri, L4T Jetson ürünleri, SHIELD TV ve ağ ürünleri (NetQ hariç) etkilenmez.
Öte yandan HPE , bazı ürünlerinin Log4j yapılandırmasına erişimi olan bir saldırgan tarafından tetiklenebilen ve uzaktan kod yürütülmesine neden olan güvenilmeyen veri güvenlik açığının seri durumdan çıkarılması olan CVE-2021-4104'ten de etkilendiğini söylüyor ( yalnızca JMSAppender'ı kullanmak üzere yapılandırılmış Log4j 1.2 etkilenir).
Şirket, güvenlik açığı bulunan kitaplığı kullanan yaklaşık 60 ürün belirledi ve bunlar için güvenlik bildirimleri (yamalar ve azaltmalar dahil) ve güvenlik bültenleri yayınladı.
NVIDIA ve HPE, Log4j güvenlik açıklarından etkilenmesi muhtemel birçok şirketten yalnızca ikisidir. Bu haftanın başlarında Google, Maven Central deposunda hala savunmasız Log4j sürümlerini kullanan 36.000 Java paketi tespit ettiğini söyledi.
Kaynak: https://www.securityweek.com/nvidia-hpe-products-affected-log4j-vulnerabilities
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
