公告 ID：2026-046-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 6 月 18 日下午 17:30（太平洋夏令时）

描述：

containerd 是 Kubernetes 通过容器运行时接口（CRI）插件使用的开源容器运行时。该运行时是 AWS 托管容器服务的基础，包括 Amazon Elastic Kubernetes Service（Amazon EKS）、Amazon Elastic Container Service（Amazon ECS）、AWS Fargate、Bottlerocket 和 Amazon Linux。AWS 在 containerd CRI 插件中发现了影响版本 1.7 至 2.3 的五个问题

• CVE-2026-50195（CVSS 8.8）：CRI 插件中未经验证的检查点映像引用导致共享的 Kubernetes 节点上的映像缓存中毒，从而实现跨容器组（pod）代码执行。
• CVE-2026-53488（CVSS 8.3）：映像配置 LABEL 指令无需清理即可传播到容器，从而允许通过有意设计的容器映像执行任意主机命令。此问题不需要启用检查点/恢复。
• CVE-2026-53492（CVSS 6.8）：来自不受信任的检查点映像元数据的 CDI（容器设备接口）标注无需验证即可信任，从而允许设备和主机挂载注入绕过 Kubernetes 设备强制执行。此问题需要在节点上启用 CDI。
• CVE-2026-53489（CVSS 6.5）：在检查点恢复期间未验证符号链接的容器日志路径，从而允许读取任意主机文件。此问题需要启用检查点/恢复。
• CVE-2026-47262（CVSS 6.5）：有意设计的容器映像可造成不受控制的内存消耗，从而导致 containerd 进程的内存不足终止，以及受影响节点上的所有容器拒绝服务。

受影响的版本：containerd 1.7、2.0、2.1、2.2、2.3

解决方法：

这些问题已在上游 containerd 项目中予以解决。修补版本可在 containerd GitHub 安全建议页面上找到。建议您升级到最新的修补版本，并确保对任何分叉代码或派生代码进行更新，以纳入新的修复程序。

对于使用 AWS 托管容器服务（Amazon EKS、Amazon ECS、AWS Fargate）的客户，AWS 正在受影响的实例集中部署经过修补的运行时。在 Amazon EC2 或本地基础设施上使用自管理 containerd 部署的客户应尽快升级到修补的容器版本。

临时措施：

对于 CVE-2026-50195、CVE-2026-53489 和 CVE-2026-53492：在 containerd 中禁用检查点/恢复功能可降低意外披露的可能性。对于 CVE-2026-53492：此外，在受影响节点上禁用 CDI 支持可降低意外披露的可能性。除了升级到修补版本外，CVE-2026-53488 或 CVE-2026-47262 没有其他临时措施。

参考：

• CVE-2026-50195（GHSA-cvxm-645q-p574）
• CVE-2026-53488（GHSA-xHF5-7WJV-PQXP）
• CVE-2026-53492（GHSA-33vj-92qq-66HC）
• CVE-2026-53489（GHSA-RGH6-RFWX-v388）
• CVE-2026-47262（GHSA-jpcc-p29G-p8MQ）
• containerd 安全公告

致谢：

我们非常感谢 containerd 项目通过协调漏洞披露流程针对这些问题进行的合作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。