Containerd 2.1.x < 2.1.1 TOCTOU
critical Nessus 插件 ID 237291
语言:
简介
远程主机上安装的 containerd 版本受到一个漏洞的影响。描述
远程主机上的 Containerd 版本为 2.1.1 之前的 2.1.x 版本。因此,该软件受到一个漏洞影响。在 containerd v2.1.0 中发现检查时间到使用时间 (TOCTOU) 漏洞。在拉取映像期间解包映像时,特别构建的容器映像可任意修改主机文件系统。唯一受影响的 containerd 版本是 2.1.0。其他 containerd 版本不受影响。此错误已在 containerd 2.1.1 中修复。用户应更新到此版本以解决该问题。变通方案是,确保仅使用受信任的镜像,并且只有受信任的用户才具有导入镜像的权限。请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Containerd 版本 2.1.1 或更高版本。另见
插件详情
严重性: Critical
ID: 237291
文件名: containerd_2_1_1.nasl
版本: 1.2
类型: local
代理: unix
系列: Misc.
发布时间: 2025/5/27
最近更新时间: 2025/5/28
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v4
风险因素: Critical
Base Score: 9.4
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
漏洞信息
CPE: cpe:/a:linuxfoundation:containerd
补丁发布日期: 2025/5/20
漏洞发布日期: 2025/5/20
参考资料信息
CVE: CVE-2025-47290
IAVA: 2025-A-0372