Компания NVIDIA выпустила срочные обновления безопасности для своего программного обеспечения, устраняющие ряд серьезных уязвимостей в продуктах BlueField, ConnectX, DOCA, Mellanox DPDK, Cumulus Linux и NVOS. Обновления направлены на устранение угроз, способных привести к отказу в обслуживании (DoS), повышению привилегий (EoP) и раскрытию конфиденциальной информации.
Детали уязвимости
Согласно опубликованному бюллетеню безопасности, уязвимости затрагивают ключевые компоненты инфраструктуры, включая сетевые адаптеры, платформы для центров обработки данных и операционные системы. Эксперты настоятельно рекомендуют немедленно установить предоставленные исправления, чтобы минимизировать риски для корпоративных и облачных сред.
Среди наиболее опасных уязвимостей выделяется CVE-2025-23256 с оценкой 8.7 по шкале CVSS v3.1. Она позволяет не только инициировать отказ в обслуживании, но и повысить привилегии, получить доступ к данным и модифицировать их. Другие уязвимости, такие как CVE-2025-23257 и CVE-2025-23258, также оцениваются как высокоопасные и связаны с несанкционированным повышением прав в системе.
Затронутыми оказались практически все актуальные версии перечисленных продуктов. Для BlueField и ConnectX обновления уже доступны в ветках 45.1020, 35.4554, 39.5050 и 43.3608. Владельцам устройств ConnectX-4 рекомендуется ожидать выхода патчей до конца сентября. Для DOCA, Mellanox DPDK, Cumulus Linux и NVOS также опубликованы исправленные сборки, номера которых указаны в официальном бюллетене.
Особое внимание уделяется уязвимости CVE-2025-23261, которая связана с нежелательным раскрытием информации, включая пароли, в системных журналах. Пользователям рекомендуется не только обновить ПО, но и проверить существующие логи на наличие конфиденциальных данных и при необходимости очистить их.
Кроме установки обновлений, NVIDIA советует ограничить локальный доступ к интерфейсам управления на устройствах BlueField и ConnectX, чтобы снизить поверхность атаки. Для клиентов, использующих оценочные версии продуктов, предусмотрена возможность получения раннего доступа к исправлениям через менеджера по работе с клиентами.
Своевременное применение патчей позволяет предотвратить серьёзные инциденты, включая перехват управления сетевыми компонентами, утечки данных и нарушение доступности критически важных сервисов. Все обновления доступны на портале NVIDIA Product Security.
