Plattform
nvidia
Komponente
nvidia-jetson-for-jetpack
Behoben in
35.6.5
36.5.1
CVE-2026-24148 describes a vulnerability within the system initialization logic of NVIDIA Jetson for JetPack. This flaw allows an unprivileged attacker to trigger the initialization of a resource with insecure default settings. The potential impact includes information disclosure of encrypted data, data tampering, and partial denial of service across devices sharing the same machine ID. Affected versions include all JetPack versions prior to 35.6.4; upgrading to version 35.6.4 resolves the issue.
CVE-2026-24148 betrifft die Jetson Xavier- und Jetson Orin-Serie mit einem CVSS-Score von 8,3. Die Schwachstelle liegt in der Systeminitialisierungslogik und ermöglicht einem nicht privilegierten Angreifer, die Initialisierung einer Ressource mit einem unsicheren Standardwert auszulösen. Eine erfolgreiche Ausnutzung könnte zur Offenlegung von Informationen verschlüsselter Daten, zur Datenmanipulation und zu einer teilweisen Verweigerung des Dienstes auf Geräten führen, die dieselbe Maschinen-ID teilen. Diese Schwachstelle erfordert sofortiges Handeln, um Jetson-Systeme zu schützen.
Ein Angreifer mit nicht privilegiertem Zugriff auf ein Jetson Xavier- oder Orin-System könnte diese Schwachstelle ausnutzen. Der Angreifer könnte die Initialisierungskonfiguration einer Ressource manipulieren, was potenziell zur Offenlegung sensibler Informationen wie Verschlüsselungsschlüssel oder verschlüsselter Daten führen könnte. Ein teilweiser Denial-of-Service könnte auftreten, wenn der Angreifer den Initialisierungsprozess einer kritischen Ressource unterbricht. Das Risiko wird in Multi-Geräte-Umgebungen, die dieselbe Maschinen-ID teilen, verstärkt, da die Schwachstelle mehrere Geräte gleichzeitig beeinträchtigen könnte.
Organizations deploying NVIDIA Jetson devices in environments requiring data confidentiality and integrity are at significant risk. This includes robotics applications, edge computing deployments, and any scenario where sensitive data is processed or stored on Jetson devices. Shared hosting environments utilizing Jetson devices are particularly vulnerable due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u jetpack-system-initialization | grep -i 'insecure default'• linux / server:
ps aux | grep -i 'jetpack-system-initialization'• linux / server:
ls -l /opt/nvidia/jetpack/system_initialization.sh• linux / server:
cat /etc/machine-iddisclosure
Exploit-Status
EPSS
0.04% (12% Perzentil)
CISA SSVC
CVSS-Vektor
NVIDIA empfiehlt, auf JetPack 35.6.4 oder höher zu aktualisieren, um diese Schwachstelle zu beheben. Dieses Update behebt die fehlerhafte Initialisierungslogik und stellt sicher, dass Ressourcen sicher initialisiert werden. Es ist entscheidend, dieses Update so schnell wie möglich anzuwenden, insbesondere in Umgebungen, in denen die Sicherheit verschlüsselter Daten von größter Bedeutung ist. Weitere detaillierte Installationsanweisungen und zusätzliche Hinweise finden Sie in den Versionshinweisen von JetPack 35.6.4. Es wird auch empfohlen, Jetson-Systeme proaktiv auf potenzielle Exploits zu überwachen.
Actualice NVIDIA Jetson for JetPack a la versión 35.6.4 o posterior, o a la versión 36.5 o posterior, según corresponda, para mitigar esta vulnerabilidad. La actualización corrige la lógica de inicialización del sistema, evitando que un atacante no privilegiado cause la inicialización de un recurso con un valor predeterminado inseguro.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Eine Maschinen-ID ist ein eindeutiger Identifikator, der jedem Jetson-Gerät zugewiesen wird. In diesem Zusammenhang betrifft die Schwachstelle Geräte, die dieselbe Maschinen-ID teilen.
Die Schwachstelle könnte die Offenlegung aller verschlüsselten Daten ermöglichen, die von der betroffenen Ressource gespeichert oder verarbeitet werden. Dazu können Verschlüsselungsschlüssel, Benutzerdaten und andere sensible Informationen gehören.
Sie können Ihre JetPack-Version überprüfen, indem Sie den Befehl nvcc --version in der Befehlszeile des Geräts ausführen.
Wenn Sie nicht sofort aktualisieren können, sollten Sie den unbefugten Zugriff auf Systemressourcen einschränken und auf verdächtige Aktivitäten achten.
KEV: nein bedeutet, dass NVIDIA keine Knowledge Engineering Validation (KEV) für diese Schwachstelle herausgegeben hat. Dies mindert nicht die Bedeutung der Schwachstelle, sondern bedeutet lediglich, dass keine spezifische KEV verfügbar ist.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.