CVE-2024-0132

NVIDIA Container Toolkit 1.16.1 or earlier contains a Time-of-check Time-of-Use (TOCTOU) vulnerability when used with default configuration where a specifically crafted container image may gain access to the host file system. This does not impact use cases where CDI is used. A successful exploit of this vulnerability may lead to code execution, denial of service, escalation of privileges, information disclosure, and data tampering.
References
Configurations

Configuration 1 (hide)

AND
cpe:2.3:a:nvidia:nvidia_container_toolkit:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*

Configuration 2 (hide)

AND
cpe:2.3:a:nvidia:nvidia_gpu_operator:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*

History

02 Oct 2024, 14:45

Type Values Removed Values Added
CVSS v2 : unknown
v3 : 9.0
v2 : unknown
v3 : 8.3
First Time Nvidia nvidia Container Toolkit
Linux linux Kernel
Nvidia
Linux
Nvidia nvidia Gpu Operator
CPE cpe:2.3:a:nvidia:nvidia_gpu_operator:*:*:*:*:*:*:*:*
cpe:2.3:a:nvidia:nvidia_container_toolkit:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*
References () https://nvidia.custhelp.com/app/answers/detail/a_id/5582 - () https://nvidia.custhelp.com/app/answers/detail/a_id/5582 - Vendor Advisory

26 Sep 2024, 13:32

Type Values Removed Values Added
Summary
  • (es) NVIDIA Container Toolkit 1.16.1 o versiones anteriores contienen una vulnerabilidad de tipo TOCTOU (Time-of-check Time-of-Use) cuando se utiliza con la configuración predeterminada, en la que una imagen de contenedor manipulada específicamente puede obtener acceso al sistema de archivos del host. Esto no afecta a los casos de uso en los que se utiliza CDI. Una explotación exitosa de esta vulnerabilidad puede provocar la ejecución de código, la denegación de servicio, la escalada de privilegios, la divulgación de información y la manipulación de datos.

26 Sep 2024, 06:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-26 06:15

Updated : 2024-10-02 14:45


NVD link : CVE-2024-0132

Mitre link : CVE-2024-0132

CVE.ORG link : CVE-2024-0132


JSON object : View

Products Affected

nvidia

  • nvidia_gpu_operator
  • nvidia_container_toolkit

linux

  • linux_kernel
CWE
CWE-367

Time-of-check Time-of-use (TOCTOU) Race Condition