一、基本情况
Triton Inference Server是NVIDIA发布的一款开源软件,是 NVIDIA AI 平台的重要组成部分。该服务器可以标准化各种工作负载的 AI 模型的部署和执行,为用户提供快速、可扩展的 AI 服务。作为全球主流的 AI 推理服务器,Triton 被全球众多人工智能厂商广泛使用。
二、漏洞描述
NVIDIA Triton Inference Server for Linux远程代码执行漏洞(CVE-2024-0087)的漏洞细节及PoC在互联网上公开,该漏洞的CVSS评分为9.0。
NVIDIA Triton Inference Server for Linux版本22.09 - 24.03中,由于日志文件配置接口/v2/logging接受log_file参数,允许设置要写入的日志文件的绝对路径,有权访问该接口的威胁者可利用该参数执行任意文件写入,成功利用该漏洞可能导致远程代码执行、拒绝服务、权限提升、信息泄露和数据篡改等。
三、影响范围
NVIDIA Triton Inference Server(Linux平台):22.09 - 24.03
四、修复建议
目前该漏洞已经修复,受影响用户可升级到NVIDIA Triton Inference Server for Linux 24.04或更高版本。
