Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

NVIDIAのコンテナ環境向けツールに脆弱性 - 「クリティカル」も

NVIDIA製GPUをコンテナ環境で利用するためのソフトウェア「NVIDIA Container Toolkit」「NVIDIA GPU Operator」に複数の脆弱性が明らかとなった。

現地時間2025年7月15日にセキュリティアドバイザリを公開し、これらソフトウェアが影響を受ける2件の脆弱性を明らかにしたもの。一部バージョンでは「CDI(Container Device Interface)モード」のみ影響を受けるとしている。

コンテナ初期化時に使用される一部のフックでコードが実行される「CVE-2025-23266」が確認された。権限の昇格や情報漏洩、データ改ざん、サービス拒否などが生じるおそれがある。

また「update-ldcacheフック」では、リンクをたどらせる脆弱性「CVE-2025-23267」が判明した。データ改ざんやサービス拒否につながるおそれがある。

いずれも細工されたコンテナイメージを扱った場合に悪用されるおそれがある。「CVE-2025-23266」は、共通脆弱性評価システム「CVSSv3.1」においてベーススコアが「9.0」、重要度が「クリティカル(Critical)」と評価されている。

一方「CVE-2025-23267」についてはCVSS基本値を「8.5」、重要度を「高(High)」とした。

同社はこれら脆弱性を修正した「NVIDIA Container Toolkit 1.17.8」および「NVIDIA GPU Operator 25.3.1」をリリース。利用者にアップデートを呼びかけるとともに、緩和策をアナウンスしている。

(Security NEXT - 2025/07/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

Oracle、四半期定例パッチを公開 - 脆弱性309件に対応
「Chrome」に脆弱性、すでに悪用も - アップデートが公開
「Node.js」にアップデート - 複数の脆弱性に対応
「VMware ESXi」など複数仮想化製品に深刻な脆弱性 - 早急に更新を
「FortiWeb」の深刻な脆弱性、詳細やPoCが公開
画像処理ライブラリ「ImageMagick」に脆弱性 - アップデートが公開
「Wing FTP Server」狙う脆弱性攻撃に注意 - 詳細公表翌日より発生
「HPE Networking Instant On」のアクセスポイントに深刻な脆弱性
「FortiWeb」に認証不要でコマンド実行が可能となるSQLi脆弱性
「Kubernetes」向けパッケージ管理ツール「Helm」に脆弱性