NVIDIA, konuşma yapay zekası platformu Riva’daki ciddi güvenlik açıklarını kapatmak için acil bir güncelleme yayınladı. NVIDIA Riva güvenlik açığı bu açıkları kullanarak sistemlere sızabilir ve hassas konuşma verilerini çalabilir.
Yüksek Risk Taşıyan Güvenlik Açıkları
10 Mart 2025 tarihli güvenlik bültenine göre, güncelleme Linux tabanlı tüm Riva sürümlerini (≤2.18.0) etkiliyor. Trend Micro araştırmacıları David Fiser ve Alfredo Oliveira, NVIDIA ile iş birliği yaparak bu açıkları tespit etti.
Keşfedilen güvenlik açıkları:
- CVE-2025-23242 (CVSS 7.3) – Yetkisiz kullanıcıların yönetici düzeyinde komut çalıştırmasına ve konuşma işleme sistemlerini manipüle etmesine olanak tanıyor. Bu açık, uzaktan istismar edilebilir ve kullanıcı etkileşimi gerektirmez.
- CVE-2025-23243 (CVSS 6.5) – Saldırganlar, hizmet reddi (DoS) saldırıları düzenleyebilir ve nöral makine çeviri (NMT) hizmetlerini bozabilir.
- Her iki açık da gRPC istek başlıklarının yetersiz doğrulanmasından kaynaklanıyor ve Riva’nın mikro hizmet mimarisindeki güvenlik zafiyetlerinden faydalanıyor.
Hangi Sistemler Risk Altında?
NVIDIA’nın açıklamasına göre, NVIDIA Riva güvenlik açığı durumundan özellikle şu sistemler etkileniyor:
Riva Speech Skills Server kullanılarak oluşturulan otomatik konuşma tanıma (ASR) ve metinden konuşmaya (TTS) sistemleri
NeMo ile ince ayarlanmış nöral makine çeviri (NMT) modelleri
Docker veya Kubernetes üzerinde çalışan gerçek zamanlı konuşma işleme uygulamaları
NVIDIA’dan Acil Güncelleme Çağrısı
NVIDIA, tüm kullanıcıların acilen Riva 2.19.0 sürümüne geçmesi gerektiğini duyurdu. Güncellenen sürüm, gelişmiş rol tabanlı erişim kontrolü (RBAC) ve daha güçlü gRPC kimlik doğrulama protokolleri sunuyor.
Anında güncelleme yapamayan kuruluşlar için önerilen güvenlik önlemleri:
- Riva hizmetlerini yalnızca güvenilir IP adreslerine açın (API ağ geçitleri kullanarak)
- Tüm veri iletişiminde mutual TLS (mTLS) etkinleştirin
- Kendi uygulamalarınızda kullanılan “riva-speech-client” kütüphanesini kontrol edin
NVIDIA’dan Yeni Güvenlik Önlemleri Geliyor
NVIDIA, tüm eski Riva sürümlerinin bu açıkları içerdiğini ve LTS (Uzun Vadeli Destek) sürümlerinin bile risk altında olduğunu duyurdu. Şirket, 2025’in ikinci çeyreğinde Riva model depoları için otomatik güvenlik taramaları başlatacağını açıkladı.
Kritik yapay zeka sistemleri için sıfır güven (zero-trust) ilkelerinin her aşamada uygulanması gerektiğini vurgulayan uzmanlar, güvenlik güncellemelerinin vakit kaybetmeden yapılmasını öneriliyor.
Daha fazla bilgi için ziyaret edebilirsiniz.
Daha fazla yazı okumak için tıklayabilirsiniz.
Leave a Comment