ID du bulletin : 2026-046-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 18/06/2026 à 17 h 30 PDT

Description :

containerd est un environnement d’exécution de conteneurs open source utilisé par Kubernetes via le plug-in Container Runtime Interface (CRI). Il constitue la base de services de conteneurs gérés par AWS, notamment Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), AWS Fargate, Bottlerocket et Amazon Linux. AWS a identifié cinq problèmes dans le plug-in CRI de containerd qui affectent les versions 1.7 à 2.3 de containerd.

• CVE-2026-50195 (CVSS 8.8) : des références d’image de point de contrôle non validées dans le plug-in CRI permettent d’empoisonner le cache d’images sur des nœuds Kubernetes partagés, ce qui rend possible l’exécution de code entre pods.
• CVE-2026-53488 (CVSS 8.3) : les instructions LABEL de configuration d’image sont propagées aux conteneurs sans assainissement, ce qui permet l’exécution de commandes arbitraires sur l’hôte au moyen d’une image de conteneur spécialement conçue. Ce problème ne nécessite pas l’activation de la fonctionnalité de point de contrôle/restauration.
• CVE-2026-53492 (CVSS 6.8) : les annotations CDI (Container Device Interface) provenant de métadonnées d’images de point de contrôle non fiables sont considérées comme fiables sans validation, ce qui permet l’injection de périphériques et de montages hôtes contournant l’application des règles Kubernetes relatives aux périphériques. Ce problème nécessite l’activation de CDI sur le nœud.
• CVE-2026-53489 (CVSS 6.5) : les chemins de journaux de conteneurs constitués de liens symboliques ne sont pas validés lors de la restauration d’un point de contrôle, ce qui permet la lecture arbitraire de fichiers de l’hôte. Ce problème nécessite l’activation de la fonctionnalité de point de contrôle/restauration.
• CVE-2026-47262 (CVSS 6.5) : une image de conteneur spécialement conçue peut provoquer une consommation de mémoire incontrôlée, entraînant l’arrêt du processus containerd pour mémoire insuffisante et un déni de service pour tous les conteneurs du nœud concerné.

Versions concernées : containerd 1.7, 2.0, 2.1, 2.2, 2.3

Résolution :

Ces problèmes ont été résolus dans le projet containerd en amont. Les versions corrigées sont disponibles sur la page des avis de sécurité GitHub pour containerd. Nous vous recommandons de passer à la dernière version corrigée et de vous assurer que tout code forké ou dérivé est mis à jour afin d’intégrer les nouveaux correctifs.

Pour les clients qui utilisent des services de conteneurs gérés par AWS (Amazon EKS, Amazon ECS, AWS Fargate), AWS déploie des environnements d’exécution corrigés dans les flottes concernées. Les clients qui utilisent des déploiements containerd autogérés sur Amazon EC2 ou sur une infrastructure sur site doivent passer à une version corrigée de containerd dès que possible.

Solutions de contournement :

Pour CVE-2026-50195, CVE-2026-53489 et CVE-2026-53492 : la désactivation de la fonctionnalité de point de contrôle/restauration dans containerd réduit le risque de divulgation involontaire. Pour CVE-2026-53492 : la désactivation supplémentaire de la prise en charge de CDI sur les nœuds concernés réduit le risque de divulgation involontaire. Il n’existe aucune solution de contournement pour CVE-2026-53488 ou CVE-2026-47262, hormis le passage à une version corrigée.

Références :

• CVE-2026-50195 (GHSA-cvxm-645q-p574)
• CVE-2026-53488 (GHSA-xhf5-7wjv-pqxp)
• CVE-2026-53492 (GHSA-33vj-92qq-66hc)
• CVE-2026-53489 (GHSA-rgh6-rfwx-v388)
• CVE-2026-47262 (GHSA-jpcc-p29g-p8mq)
• Avis de sécurité pour containerd

Remerciements :

Nous tenons à remercier le projet containerd pour sa collaboration sur ces problèmes dans le cadre du processus coordonné de divulgation des vulnérabilités.

Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.