Bulletin-ID: 2026-046-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 18.06.2026, 17.30 Uhr PDT

Beschreibung:

Bei containerd handelt es sich um eine quelloffene Container-Laufzeit, die von Kubernetes über das CRI-Plugin (Container Runtime Interface) genutzt wird. Sie unterstützt AWS-verwaltete Container-Services wie Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), AWS Fargate, Bottlerocket und Amazon Linux. AWS hat 5 Probleme im CRI-Plugin von containerd identifiziert, die die Versionen 1.7 bis 2.3 betreffen.

• CVE-2026-50195 (CVSS 8.8): Nicht validierte Referenzen auf Checkpoint-Images im CRI-Plugin ermöglichen Image-Cache-Poisoning auf gemeinsam genutzten Kubernetes-Knoten und damit podübergreifende Codeausführung.
• CVE-2026-53488 (CVSS 8.3): LABEL-Anweisungen in der Image‑Konfiguration werden ohne ausreichende Bereinigung an Container weitergegeben und ermöglichen so die Ausführung beliebiger Host-Befehle über ein manipuliertes Container-Image. Für dieses Problem muss die Checkpoint/Wiederherstellungsfunktion nicht aktiviert sein.
• CVE-2026-53492 (CVSS 6.8): CDI-Annotationen (Container Device Interface) aus nicht vertrauenswürdigen Metadaten von Checkpoint-Images werden ohne Überprüfung als vertrauenswürdig behandelt und ermöglichen Geräte- und Host-Mount-Injektionen, die Kubernetes-Gerätebeschränkungen umgehen. Für dieses Problem muss CDI auf dem Knoten aktiviert sein.
• CVE-2026-53489 (CVSS 6.5): Symbolisch verknüpfte Container-Protokollpfade werden bei der Wiederherstellung von Checkpoints nicht überprüft und ermöglichen so das Auslesen beliebiger Host-Dateien. Für dieses Problem muss die Checkpoint/Wiederherstellungsfunktion aktiviert sein.
• CVE-2026-47262 (CVSS 6.5): Ein manipuliertes Container-Image kann zu unkontrolliertem Speicherverbrauch führen, was eine Beendigung des containerd-Prozesses aufgrund von Speichermangel und einen Denial-of-Service für alle Container auf dem betroffenen Knoten nach sich zieht.

Betroffene Versionen: containerd 1.7, 2.0, 2.1, 2.2, 2.3

Lösung:

Diese Probleme wurden im containerd-Upstream-Projekt behoben. Gepatchte Versionen sind auf der Seite mit den GitHub-Sicherheitshinweisen von containerd verfügbar. Sie sollten ein Upgrade auf die neueste gepatchte Version vornehmen und dafür sorgen, dass geforkter oder derivativer Code aktualisiert wird, damit die neuen Korrekturen enthalten sind.

Für Kunden, die AWS-verwaltete Container-Services nutzen (Amazon EKS, Amazon ECS, AWS Fargate), stellt AWS gepatchte Laufzeiten für die betroffenen Flotten bereit. Kunden, die selbstverwaltete containerd-Bereitstellungen in Amazon EC2 oder auf einer lokalen Infrastruktur verwenden, sollten so bald wie möglich ein Upgrade auf eine gepatchte Container-Version durchführen.

Problemumgehungen:

Für CVE-2026-50195, CVE-2026-53489 und CVE-2026-53492: Durch das Deaktivieren der Checkpoint-/Wiederherstellungsfunktion in containerd wird die Möglichkeit einer unbeabsichtigten Offenlegung verringert. Für CVE-2026-53492: Die zusätzliche Deaktivierung der CDI-Unterstützung auf betroffenen Knoten verringert die Möglichkeit einer unbeabsichtigten Offenlegung. Für CVE-2026-53488 oder CVE-2026-47262 gibt es keine Problemumgehung. Das Problem lässt sich nur durch eine Upgrade auf eine gepatchte Version beheben.

Referenzen:

• CVE-2026-50195 (GHSA-cvxm-645q-p574)
• CVE-2026-53488 (GHSA-xhf5-7wjv-pqxp)
• CVE-2026-53492 (GHSA-33vj-92qq-66hc)
• CVE-2026-53489 (GHSA-rgh6-rfwx-v388)
• CVE-2026-47262 (GHSA-jpcc-p29g-p8mq)
• Sicherheitshinweise von containerd

Danksagung:

Wir möchten dem containerd-Projekt für die Zusammenarbeit in Bezug auf dieses Problem im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen danken.

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.