公告 ID：2026-046-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 6 月 18 日 17:30 (太平洋夏令時間)

描述：

containerd 是一套開放原始碼的容器執行時期，Kubernetes 透過容器執行時期介面 (CRI) 外掛程式進行使用。該元件是 AWS 託管容器服務的基礎，包括 Amazon Elastic Kubernetes Service (Amazon EKS)、Amazon Elastic Container Service (Amazon ECS)、AWS Fargate、Bottlerocket 以及 Amazon Linux。AWS 在 containerd CRI 外掛程式中發現了五個漏洞，影響版本涵蓋 1.7 至 2.3

• CVE-2026-50195 (CVSS 8.8)：CRI 外掛程式未經驗證的檢查點映像參考，可能導致共用 Kubernetes 節點上的映像快取遭破壞，進而引發跨 Pod 程式碼執行。
• CVE-2026-53488 (CVSS 8.3)：映像組態中的 LABEL 指令未經清理即傳播至容器，攻擊者可透過特製容器映像執行任意主機命令。此問題無需啟用檢查點/還原功能。
• CVE-2026-53492 (CVSS 6.8)：CDI (容器裝置介面) 註釋會直接採用來自不受信任之檢查點映像的中繼資料，而未經任何驗證，導致可注入裝置與主機掛載，進而繞過 Kubernetes 的裝置強制執行機制。此問題需在節點上啟用 CDI 功能。
• CVE-2026-53489 (CVSS 6.5)：在檢查點還原過程中，未驗證以符號連結指向的容器日誌路徑，導致攻擊者可讀取主機上的任意檔案。此問題需啟用檢查點/還原功能。
• CVE-2026-47262 (CVSS 6.5)：特製的容器映像可導致不受控制的記憶體消耗，最終使 containerd 程序因記憶體不足而終止，對受影響節點上的所有容器造成服務阻斷。

受影響版本：containerd 1.7、2.0、2.1、2.2、2.3

解決方案：

上述問題已在 upstream containerd 專案中得以解決。修補後的版本已發布於 containerd GitHub 安全公告頁面。建議您升級至最新的修補版本，並確保任何分支或衍生程式碼均已更新，以納入最新修正。

對於使用 AWS 託管容器服務 (Amazon EKS、Amazon ECS、AWS Fargate) 的客戶，AWS 正在受影響的機群中部署修補後的執行時期。在 Amazon EC2 或內部部署基礎結構上使用自行管理的 containerd 部署的客戶，應盡快升級至修補後的容器版本。

變通方法：

對於 CVE-2026-50195、CVE-2026-53489 和 CVE-2026-53492：停用 containerd 的檢查點/還原功能可降低非預期資訊揭露的風險。對於 CVE-2026-53492：此外，在受影響節點上停用 CDI 支援亦可降低非預期資訊揭露的風險。對於 CVE-2026-53488 與 CVE-2026-47262，除升級至修補版本外，尚無其他變通方法。

參考資料：

• CVE-2026-50195 (GHSA-cvxm-645q-p574)
• CVE-2026-53488 (GHSA-xhf5-7wjv-pqxp)
• CVE-2026-53492 (GHSA-33vj-92qq-66hc)
• CVE-2026-53489 (GHSA-rgh6-rfwx-v388)
• CVE-2026-47262 (GHSA-jpcc-p29g-p8mq)
• containerd 安全公告

致謝：

我們誠摯感謝 containerd 專案透過協調式漏洞揭露程序，與我們協作解決這些問題。

如有任何安全問題或疑慮，請傳送電子郵件至 aws-security@amazon.com。