Zwei Sicherheitslücken sind im NVIDIA GFX-Kartentreiber für Linux enthalten, wenn Ihr noch nicht die brandaktuellste Version haben solltet, was schwierig sein dürfte.
Nvidia: 2 Sicherheitslücken im Linux-Treiber
Laut der Bugbeschreibung bei Nvidia, handelt sich dabei bei einer Lücke um einen Bug in der IPC Communication API, was man braucht um Daten zwischen einzelnen Prozessen hin und her zu schicken. Dieser Fehler kann dazu genutzt werden um mit erweiterten Rechten eingeschleusten Code auszuführen.
CVE-IDs
Addressed | Software Product | Operating System | Driver Branch | Affected Versions | Updated Versions |
|---|
CVE‑2020‑5963
CVE‑2020‑5967 | GeForce | Linux | R450 | All versions prior to 450.51 | 450.51 |
| Quadro, NVS | Linux | R450 | All versions prior to 450.51 | 450.51 |
| R440 | All versions prior to 440.100 | 440.100 |
| R390 | All versions prior to 390.138 | 390.138 |
| Tesla | Linux | R450 | All R450 versions | Available the week of June 29, 2020 |
| R440 | All versions prior to 440.95.01 | 440.95.01 |
| R418 | All versions prior to 418.152.00 | 418.152.00 |
Die zweite Schwachstelle ist dann schon schwieriger auszunutzen, da eine RACE Condition ist, es kämpfen also zwei Prozesse um eine Ressource. Der Gewinn des RACE würde einen DOS erlauben. Was ein Angreifer auf einem DesktopPC davon haben würde die Grafikkarte zu crashen, naja. Ist trotzdem gut, daß es gefixt wurde.
Für Fedora lautet die Treiberversion für meine GFX-Karte 440.82 und muß daher aktualisiert werden. Da diese aus dem Repo von RPMFusion stammt, dürfte der Verbreitungsgrad und damit der Updatezwang unter Fedora/Centos/RHEL Benutzern entsprechend hoch sein. Wie das zu Problemen führen kann und was man das machen muß, lest Ihr hier: Nvidia, Fedora, RPMFusion und der Bug, der nicht sein soll.
Bei RPMFusion habe ich heute schon angeklopft, daß Updates benötigt werden.
Quelle: https://nvidia.custhelp.com/app/answers/detail/a_id/5031