コンテナ化された CRI プラグインに関する問題 – CVE-2026-50195、CVE-2026-53488、CVE-2026-53492、CVE-2026-53489、CVE-2026-47262
速報 ID: 2026-046-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 6 月 18 日 午後 17 時 30 分 (PDT)
説明:
containerd は、Kubernetes が Container Runtime Interface (CRI) プラグインを介して使用するオープンソースのコンテナランタイムです。これは、Amazon Elastic Kubernetes Service (Amazon EKS)、Amazon Elastic Container Service (Amazon ECS)、AWS Fargate、Bottlerocket、Amazon Linux などの AWS マネージドコンテナサービスを支えています。AWS は、バージョン1.7〜2.3 に影響する containerd CRI プラグインの 5 つの問題を特定しました
- CVE-2026-50195 (CVSS 8.8): CRI プラグインの未検証のチェックポイントイメージ参照により、共有 Kubernetes ノードでイメージキャッシュポイズニングが発生し、クロスポッドコード実行が可能になります。
- CVE-2026-53488 (CVSS 8.3): イメージ設定の LABEL 命令がサニタイズされずにコンテナに伝播され、細工されたコンテナイメージを介して任意のホストコマンドを実行できるようになります。この問題では、チェックポイント/復元を有効にする必要はありません。
- CVE-2026-53492 (CVSS 6.8): 信頼できないチェックポイントイメージメタデータからの CDI (Container Device Interface) アノテーションは検証なしで信頼されるため、Kubernetes デバイス強制をバイパスするデバイスとホストのマウントインジェクションが可能になります。この問題では、ノードで CDI を有効にする必要があります。
- CVE-2026-53489 (CVSS 6.5): シンボリックリンクされたコンテナのログパスがチェックポイント復元中に検証されないため、任意のホストファイルの読み取りが可能になります。この問題では、チェックポイント/復元を有効にする必要があります。
- CVE-2026-47262 (CVSS 6.5): 細工されたコンテナイメージにより、制御されないメモリ消費が発生し、コンテナプロセスがメモリ不足で終了して、影響を受けるノードのすべてのコンテナでサービス拒否が発生する可能性があります。
影響を受けるバージョン: containerd 1.7、2.0、2.1、2.2、2.3
解決方法:
これらの問題は、アップストリームの containerd プロジェクトで解決されました。パッチが適用されたリリースは、containerd GitHub セキュリティアドバイザリページで入手できます。最新のパッチ適用済みバージョンにアップグレードし、フォークしたコードや派生コードを更新して新しい修正を反映させることをお勧めします。
AWS マネージドコンテナサービス (Amazon EKS、Amazon ECS、AWS Fargate) を使用しているお客様向けに、AWS は影響を受けるフリート全体にパッチ適用済みランタイムをデプロイしています。Amazon EC2 またはオンプレミスインフラストラクチャでセルフマネージド containerd デプロイを使用しているお客様は、パッチが適用されたコンテナバージョンにできるだけ早くアップグレードする必要があります。
回避策:
CVE-2026-50195、CVE-2026-53489、CVE-2026-53492 の場合: containerd 内のチェックポイント/復元機能を無効にすることで、意図しない開示の可能性を減らすことができます。CVE-2026-53492 の場合: 影響を受けるノードで CDI サポートを追加で無効化することで、意図しない開示の可能性を減らすことができます。CVE-2026-53488 または CVE-2026-47262 の場合、パッチを適用したバージョンにアップグレードする以外の回避策はありません。
参考情報:
- CVE-2026-50195 (GHSA-cvxm-645q-p574)
- CVE-2026-53488 (GHSA-xhf5-7wjv-pqxp)
- CVE-2026-53492 (GHSA-33vj-92qq-66hc)
- CVE-2026-53489 (GHSA-rgh6-rfwx-v388)
- CVE-2026-47262 (GHSA-jpcc-p29g-p8mq)
- containerd セキュリティアドバイザリ
謝辞:
協調的脆弱性開示プロセスを通じてこれらの問題に協力してくださった containerd プロジェクトに感謝いたします。
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。