偵測

Amazon Linux 2023cuda-nvdisasm-13 (ALAS2023NVIDIA-2025-145)

high Nessus Plugin ID 243417

語言:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此,會受到 ALAS2023NVIDIA-2025-145 公告中所提及的多個弱點影響。

 適用於所有平台的 NVIDIA CUDA Toolkit 在 nvdisasm 二進位檔中含有一個弱點使用者可藉由將格式錯誤的 ELF 檔案傳送至 nvdisasm進而造成超出邊界讀取。若攻擊成功,可能會導致部分拒絕服務。(CVE-2025-23248)

 適用於所有平台的 NVIDIA CUDA Toolkit 在 cuobjdump 二進位檔中含有一個弱點其中使用者可將格式錯誤的 ELF 檔案傳送至 cuobjdump進而造成超出邊界讀取。若攻擊成功,可能會導致部分拒絕服務。(CVE-2025-23255)

 適用於所有平台的 NVIDIA CUDA Toolkit 在 nvdisasm 二進位檔中含有一個弱點使用者可藉由將格式錯誤的 ELF 檔案傳送至 nvdisasm進而造成超出邊界讀取。若攻擊成功,可能會導致部分拒絕服務。(CVE-2025-23271)

 適用於所有平台的 NVIDIA CUDA Toolkit 在 nvJPEG 中含有一個弱點經驗證的本機使用者可透過提交特製的 JPEG 檔案造成除以零錯誤。若成功惡意利用此弱點,則可能會導致拒絕服務。(CVE-2025-23273)

 NVIDIA nvJPEG 在 jpeg 編碼中含有一個弱點其中使用者可能透過提供含有會在陣列索引計算中造成整數溢位之尺寸的惡意特製輸入影像來造成超出邊界讀取。若成功惡意利用此弱點,則可能會導致拒絕服務。(CVE-2025-23274)

 適用於所有平台的 NVIDIA CUDA Toolkit 在 nvJPEG 中含有一個弱點經驗證的本機使用者可藉由提供特定影像尺寸造成 GPU 超出邊界寫入。成功惡意利用此弱點可導致拒絕服務和資訊洩漏。 (CVE-2025-23275)

 適用於所有平台的 NVIDIA CUDA Toolkit 在 nvdisasm 中含有一個弱點攻擊者可能會藉此讓使用者對惡意 ELF 檔案執行 nvdisasm藉此造成堆積型緩衝區溢位。成功惡意利用此弱點可導致以執行 nvdisasm 的使用者權限層級執行任意程式碼。 (CVE-2025-23308)

 適用於所有平台的 NVIDIA CUDA Toolkit 在 nvdisasm 中含有一個弱點其中使用者可藉由在惡意 ELF 檔案上執行 nvdisasm 來造成超出邊界寫入。若成功惡意利用此弱點,則可能會導致拒絕服務。(CVE-2025-23338)

 適用於所有平台的 NVIDIA CUDA Toolkit 的 cuobjdump 中含有一個弱點攻擊者可能會藉此讓使用者在惡意 ELF 檔案上執行 cuobjdump進而造成堆疊型緩衝區溢位。成功惡意利用此弱點可導致以使用者 runningcuobjdump 的權限層級執行任意程式碼。 (CVE-2025-23339)

 適用於所有平台的 NVIDIA CUDA Toolkit 在 nvdisasm 二進位檔中含有一個弱點使用者可藉由將格式錯誤的 ELF 檔案傳送至 nvdisasm進而造成超出邊界讀取。若攻擊成功,可能會導致部分拒絕服務。(CVE-2025-23340)

 NVIDIA CUDA Toolkit 的 cuobjdump 含有一個弱點無權限的使用者可造成 NULL 指標解除參照。成功惡意利用此弱點可導致有限的拒絕服務。
 (CVE-2025-23346)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「dnf update cuda-nvdisasm-13-0 --releasever latest」或 或「dnf update --advisory ALAS2023NVIDIA-2025-145 --releasever latest」以更新系統。

另請參閱

https://alas.aws.amazon.com//AL2023/ALAS2023NVIDIA-2025-145.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2025-23248.html

https://explore.alas.aws.amazon.com/CVE-2025-23255.html

https://explore.alas.aws.amazon.com/CVE-2025-23271.html

https://explore.alas.aws.amazon.com/CVE-2025-23273.html

https://explore.alas.aws.amazon.com/CVE-2025-23274.html

https://explore.alas.aws.amazon.com/CVE-2025-23275.html

https://explore.alas.aws.amazon.com/CVE-2025-23308.html

https://explore.alas.aws.amazon.com/CVE-2025-23338.html

https://explore.alas.aws.amazon.com/CVE-2025-23339.html

https://explore.alas.aws.amazon.com/CVE-2025-23340.html

https://explore.alas.aws.amazon.com/CVE-2025-23346.html

Plugin 詳細資訊

嚴重性: High

ID: 243417

檔案名稱: al2023_ALAS2023NVIDIA-2025-145.nasl

版本: 1.2

類型: local

代理程式: unix

已發布: 2025/8/4

已更新: 2025/10/15

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.2

時間性分數: 5.3

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2025-23339

CVSS v3

風險因素: High

基本分數: 7.8

時間性分數: 6.8

媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:cuda-nvdisasm-13

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2025/8/4

弱點發布日期: 2025/7/24

參考資訊

CVE: CVE-2025-23248, CVE-2025-23255, CVE-2025-23271, CVE-2025-23273, CVE-2025-23274, CVE-2025-23275, CVE-2025-23308, CVE-2025-23338, CVE-2025-23339, CVE-2025-23340, CVE-2025-23346

IAVA: 2025-A-0550