NVIDIA TRT-LLM: Kritische Lücken
NVIDIA hat mehrere kritische Schwachstellen in TensorRT-LLM (TRT-LLM) disclosed. Die Lücken mit einem CVSS-Score von bis zu 9.8 ermöglichen entfernten Angreifern die Ausführung beliebigen Codes, Denial-of-Service-Angriffe und Datenmanipulation.
Die kritischen CVEs im Überblick
NVIDIA klassifiziert die Schwachstellen als kritisch und hat parallel drei CVEs veröffentlicht:
- CVE-2025-33255: Unsafe Deserialization im MPI Server (CVSS 9.8)
- CVE-2026-24142: Deserialization-Vulnerability mit unsafe serialized handle (CVSS 9.8)
- CVE-2026-24163: Unsafe Deserialization im RPC Testing (CVSS 9.8)
Auswirkungen der Lücken
Alle drei Schwachstellen basieren auf unsicherer Deserialisierung (CWE-502). Ein erfolgreicher Angriff kann zu folgenden Konsequenzen führen:
- Beliebige Code-Ausführung auf dem Zielsystem
- Denial-of-Service (Systemabstürze)
- Datenmanipulation und Integritätsverlust
- Offenlegung vertraulicher Informationen
Betroffene Systeme
Die Schwachstellen betreffen alle Plattformen, auf denen NVIDIA TRT-LLM vor Version 1.2 eingesetzt wird. TRT-LLM ist NVIDIAs Optimierungs-Framework für Large Language Models und wird häufig in KI-Infrastrukturen und Cloud-Deployments genutzt.
Handlungsempfehlungen
NVIDIA empfiehlt dringend:
- Aktualisierung auf TRT-LLM Version 1.2 oder höher
- Überprüfung aller TRT-LLM-Installationen im Unternehmen
- Temporäre Netzwerkabschottung bis zum Patch
- Monitoring auf verdächtige RPC- und MPI-Verbindungen
Relevanz für KI-Infrastruktur
TRT-LLM ist eine zentrale Komponente für Unternehmen, die Large Language Models produktiv einsetzen. Die Lücken sind besonders kritisch, da sie in Cloud-Umgebungen und Container-Deployments ausgenutzt werden können, in denen TRT-LLM typischerweise läuft.
Fazit
Die drei kritischen CVEs in NVIDIA TRT-LLM zeigen die Sicherheitsrisiken in KI-Infrastrukturen. Unternehmen, die TRT-LLM einsetzen, sollten die Updates zeitnah einspielen und ihre Systeme überwachen.
Kommentar abschicken