메인 콘텐츠로 건너뛰기

Containered CRI 플러그인 관련 문제 - CVE-2026-50195, CVE-2026-53488, CVE-2026-53492, CVE-2026-53489, CVE-2026-47262

공지 ID: 2026-046-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 6월 18일 오후 17시 30분(PDT)

설명:

Containered는 컨테이너 런타임 인터페이스(CRI) 플러그인을 통해 Kubernetes에서 사용하는 오픈 소스 컨테이너 런타임입니다. Amazon Elastic Kubernetes Service(Amazon EKS), Amazon Elastic Container Service(Amazon ECS), AWS Fargate, Bottlerocket, Amazon Linux를 포함한 AWS 관리형 컨테이너 서비스의 기반입니다. AWS는 Containered CRI 플러그인에서 버전 1.7~2.3에 영향을 미치는 5가지 문제를 확인했습니다.

  • CVE-2026-50195(CVSS 8.8): CRI 플러그인에서 검증되지 않은 체크포인트 이미지 참조로 인해 공유 Kubernetes 노드에서 이미지 캐시 오염이 발생하여 포드 간 코드 실행이 가능합니다.
  • CVE-2026-53488(CVSS 8.3): 이미지 구성 LABEL 지침이 정제되지 않고 컨테이너로 전파되므로, 조작된 컨테이너 이미지를 통해 임의의 호스트 명령이 실행될 수 있습니다. 이 문제에는 체크포인트/복원을 활성화할 필요가 없습니다.
  • CVE-2026-53492(CVSS 6.8): 신뢰할 수 없는 체크포인트 이미지 메타데이터의 CDI(컨테이너 디바이스 인터페이스) 주석은 검증 없이 신뢰되므로 Kubernetes 디바이스 강제 적용을 우회하는 디바이스와 호스트 마운트 주입이 허용됩니다. 이 문제를 해결하려면 노드에서 CDI를 활성화해야 합니다.
  • CVE-2026-53489(CVSS 6.5): 심링크된 컨테이너 로그 경로가 체크포인트 복원 중 검증되지 않아 임의의 호스트 파일 읽기가 가능합니다. 이 문제를 해결하려면 체크포인트/복원을 활성화해야 합니다.
  • CVE-2026-47262(CVSS 6.5): 조작된 컨테이너 이미지는 제어할 수 없는 메모리 사용량 증가를 유발하여 Containered 프로세스의 메모리 부족으로 인한 종료, 영향을 받는 노드의 모든 컨테이너에 대한 서비스 거부(DoS)를 초래할 수 있습니다.

영향을 받는 버전: Containered 1.7, 2.0, 2.1, 2.2, 2.3

해결 방법:

이러한 문제는 상위 Containered 프로젝트에서 해결되었습니다. 패치 적용된 릴리스는 Containered GitHub 보안 공지 페이지에 있습니다. 최신 패치 버전으로 업그레이드하고, 포크되거나 파생된 코드도 새로운 수정 사항을 반영하여 업데이트하는 것이 좋습니다.

AWS 관리형 컨테이너 서비스(Amazon EKS, Amazon ECS, AWS Fargate)를 사용 중인 고객을 위해, AWS는 영향을 받는 플릿 전반에 패치된 런타임을 배포하고 있습니다. Amazon EC2 또는 온프레미스 인프라에서 자체 관리형 Containered 배포를 사용하는 고객은 가급적 빨리 패치가 적용된 컨테이너 버전으로 업그레이드해야 합니다.

대안:

CVE-2026-50195, CVE-2026-53489, CVE-2026-53492: Containered에서 체크포인트/복원 기능을 비활성화하면 의도치 않은 정보 공개 가능성이 줄어듭니다. CVE-2026-53492: 영향을 받는 노드에서 CDI 지원을 추가로 비활성화하면 의도치 않은 정보 공개 가능성이 줄어듭니다. CVE-2026-53488 또는 CVE-2026-47262의 경우 패치된 버전으로 업그레이드하는 것 외에는 대안이 없습니다.

참고 사항:

도움을 주신 분:

조정된 취약성 공개 프로세스를 통해 이러한 문제 해결에 도움을 주신 Containered 프로젝트에 감사드립니다.


보안 관련 질문이나 우려 사항이 있는 경우 이메일 aws-security@amazon.com을 통해 문의하세요.