Um comunicado de segurança acaba de ser lançado pela empresa NVIDIA, detalhando os produtos que foram afetados pela vulnerabilidade Log4j. A vulnerabilidade Log4Shell, atualmente é explorada em uma ampla gama de ataques em todo o mundo.
A NVIDIA emitiu esse comunicado depois de uma dura investigação. A empresa listou os aplicativos, inclusive, que não foram afetados, o que pode deixar muitas pessoas mais tranquilas.
NVIDIA faz investigação de quais produtos foram afetados pelo Log4j
De acordo com o BleepingComputer, após uma investigação completa, a NVIDIA concluiu que as vulnerabilidades do Log4j não afetam os seguintes produtos: Software cliente GeForce Experience; Software cliente GeForceNOW; Drivers de vídeo GPU para Windows; Produtos L4T Jetson e; SHIELD TV.
Impacto Log4Shell
Embora os aplicativos de consumidor NVIDIA não sejam afetados, alguns aplicativos empresariais NVIDIA incluem Apache Log4j e precisam ser atualizados:
- As versões do Nsight Eclipse Edition abaixo de 11.0 são vulneráveis ??a CVE-2021-33228 e CVE-2021-45046 e são corrigidas na versão 11.0 ou posterior;
- NetQ é vulnerável a CVE-2021-33228, CVE-2021-45046 e CVE-2021-45105 nas versões 2.x, 3.xe 4.0.x. Como tal, os usuários são aconselhados a atualizar para o NetQ 4.1.0 ou posterior;
- O servidor de licença de software vGPU é afetado por CVE-2021-33228 e CVE-2021-45046 nas versões 2021.07 e 2020.05 Atualização 1. A prática recomendada nesses casos é seguir este guia de mitigação .
A NVIDIA também avisa que o CUDA Toolkit Visual Profiler inclui arquivos Log4j, mas que o aplicativo não os está usando. Uma versão atualizada está sendo lançada em janeiro de 2022 para remover esses arquivos.
Finalmente, por padrão, o DGX Systems não vem com a biblioteca Log4j, mas a NVIDIA avisa que alguns usuários podem tê-la instalado por conta própria. Nesses casos, os usuários são aconselhados a atualizar para a versão mais recente disponível da biblioteca ou removê-la completamente.
Segundo o BleepingComputer, a investigação da NVIDIA ainda está em andamento e diz respeito a quaisquer produtos ou serviços que não foram listados como afetados ou não impactados nas listas acima. Em contraste, o outro jogador importante no mercado de GPU, a AMD, confirmou que nenhum de seus produtos foi afetado pelo exploit Log4shell.
Infelizmente, muitos outros produtos são afetados, portanto, todas as organizações devem realizar uma auditoria completa de seus softwares vulneráveis, especialmente aqueles expostos à Internet.
No entanto, mesmo os aplicativos internos vulneráveis ??precisam ser atualizados, já que os agentes de ameaças usam a vulnerabilidade Log4Shell para se espalhar lateralmente nas redes para implantar ransomware.
Assim, mantenha seus softwares sempre atualizados!
Via: BleepingComputer