ID bollettino: 2026-046-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 18/06/2026 17:30 PDT

Descrizione:

containerd è un runtime di container open source utilizzato da Kubernetes tramite il plug-in dell’Interfaccia di runtime del container (CRI). È alla base dei servizi di container gestiti da AWS, tra cui Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), AWS Fargate, Bottlerocket e Amazon Linux. AWS ha identificato cinque problemi nel plug-in CRI di containerd che riguardano le versioni dalla 1.7 alla 2.3

• CVE-2026-50195 (CVSS 8.8): i riferimenti alle immagini dei checkpoint non validati nel plug-in CRI consentono l’avvelenamento della cache di immagini sui nodi Kubernetes condivisi, consentendo l’esecuzione di codice tra pod.
• CVE-2026-53488 (CVSS 8.3): le istruzioni LABEL di configurazione dell’immagine vengono propagate ai container senza sanitizzazione, consentendo l’esecuzione arbitraria di comandi host tramite un’immagine del container predisposta. Questo problema non richiede l’abilitazione di checkpoint/ripristino.
• CVE-2026-53492 (CVSS 6.8): le annotazioni CDI (Container Device Interface) provenienti da metadati di immagini di checkpoint non attendibili sono considerate attendibili senza convalida, consentendo l’iniezione di montaggio su dispositivi e host che aggira l’applicazione dei dispositivi Kubernetes. Questo problema richiede che la CDI sia abilitata sul nodo.
• CVE-2026-53489 (CVSS 6.5): i percorsi di log del container con collegamenti simbolici non vengono convalidati durante il ripristino del checkpoint, consentendo la lettura arbitraria del file host. Questo problema richiede l’abilitazione di checkpoint/ripristino.
• CVE-2026-47262 (CVSS 6.5): un’immagine del container predisposta può causare un consumo incontrollato di memoria, con conseguente esaurimento della stessa per il processo containerd e negazione del servizio per tutti i container sul nodo interessato.

Versioni interessate: 1.7, 2.0, 2.1, 2.2, 2.3 di containerd

Risoluzione:

questi problemi sono stati risolti nel progetto containerd upstream. Le versioni con patch sono disponibili nella pagina degli avvisi di sicurezza di GitHub di containerd. Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione con patch più recente e di assicurarsi che venga aggiornato qualsiasi codice derivato o di cui è stato eseguito il fork.

Per i clienti che utilizzano servizi di container gestiti da AWS (Amazon EKS, Amazon ECS, AWS Fargate), AWS sta implementando runtime con patch nei parchi interessati. I clienti che utilizzano distribuzioni di containerd autogestite su Amazon EC2 o su un’infrastruttura on-premises devono eseguire l’aggiornamento a una versione del container con patch il prima possibile.

Soluzioni alternative:

Per le vulnerabilità CVE-2026-50195, CVE-2026-53489 e CVE-2026-53492: la disabilitazione della funzionalità checkpoint/restore in containerd riduce il rischio di divulgazione involontaria. Per la vulnerabilità CVE-2026-53492: la disabilitazione aggiuntiva del supporto per CDI sui nodi interessati riduce il potenziale di divulgazione involontaria. Non esiste una soluzione alternativa per le vulnerabilità CVE-2026-53488 o CVE-2026-47262, se non effettuare l’aggiornamento a una versione con patch.

Riferimenti:

• CVE-2026-50195 (GHSA-cvxm-645q-p574)
• CVE-2026-53488 (GHSA-xhf5-7wjv-pqxp)
• CVE-2026-53492 (GHSA-33vj-92qq-66hc)
• CVE-2026-53489 (GHSA-rgh6-rfwx-v388)
• CVE-2026-47262 (GHSA-jpcc-p29g-p8mq)
• Avvisi di sicurezza containerd

Ringraziamenti:

Desideriamo ringraziare il progetto containerd per aver collaborato alla risoluzione di questi problemi attraverso il processo di divulgazione coordinata delle vulnerabilità.

In caso di domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.