在R32.2之前的NVIDIA Jetson TX1 L4T R32版本分支中,Tegra引导加载程序在nvtboot中包含一个漏洞

CVE编号

CVE-2019-5680

利用情况

暂无

补丁情况

N/A

披露时间

2019-07-20
漏洞描述
在R32.2之前的NVIDIA Jetson TX1 L4T R32版本分支中,Tegra引导加载程序在nvtboot中包含一个漏洞,其中在未首先验证加载地址的情况下加载了nvtboot-cpu映像,这可能导致代码执行,拒绝服务或特权升级。

解决建议

NVIDIA已经为此发布了一个安全公告(CVE-2019-5680)以及相应补丁:CVE-2019-5680:Security Bulletin: NVIDIA Jetson TX1 and Jetson Nano L4T - July 2019链接:https://nvidia.custhelp.com/app/answers/detail/a_id/4835补丁下载:


参考链接
http://www.securityfocus.com/bid/109341
https://nvidia.custhelp.com/app/answers/detail/a_id/4804
https://nvidia.custhelp.com/app/answers/detail/a_id/4835
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 nvidia jetson_tx1_firmware * Up to
(excluding)
r32.2
运行在以下环境
硬件 nvidia jetson_tx1 - -
CVSS3评分
6.7
  • 攻击路径
    本地
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CWE-ID 漏洞类型
CWE-20 输入验证不恰当
阿里云安全产品覆盖情况