事故から学ぶ

NVIDIAの連合学習SDKにRCE脆弱性 – データ侵害のおそれも

事故概要

業種 民間企業
発生時期 2022/9/9
漏えい人数 0
事故概要

NVIDIAが提供する連合学習のソフトウェア開発キット「NVFLARE」に深刻な脆弱性が明らかとなった。

同ソフトウェアに信頼できないデータをデシリアライズする脆弱性「CVE-2022-34668」が明らかとなったもの。

脆弱性を悪用されると認証なしにリモートよりコードを実行されたり、サービス拒否、情報漏洩のほか、データの完全性などに影響を及ぼすおそれがあるという。

同社では共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価し、重要度を「クリティカル(Critical)」とレーティングしている。脆弱性を修正した「同2.1.4」をリリースしており、利用者にアップデートを呼びかけている。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストにある要求ルール:

■ 推奨対策

対策:

具体例:

タグ

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。