Containerd 2.1.x < 2.1.1 TOCTOU
critical Nessus プラグイン ID 237291
Language:
概要
リモートホストにインストールされている containerd のバージョンは、脆弱性の影響を受けます。説明
リモートホストの containerd のバージョンは 2.1.1 より前の 2.1.x です。したがって、脆弱性の影響を受けます。containerd v2.1.0 に、time-of-check to time-of-use (TOCTOU) の脆弱性が見つかりました。画像のプル中に画像を解凍する際に、特別に細工されたコンテナイメージによってホストファイルシステムが任意に変更される可能性があります。containerd の影響を受けるバージョンは 2.1.0 のみです。他のバージョンの containerd は影響を受けません。このバグは、containerd 2.1.1 で修正されました。この問題を解決するには、ユーザーがこのバージョンに更新する必要があります。回避策として、信頼できる画像のみが使用され、信頼できるユーザーのみが画像をインポートするアクセス許可を持っていることを確認してください。Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Containerd バージョン 2.1.1 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Critical
ID: 237291
ファイル名: containerd_2_1_1.nasl
バージョン: 1.2
タイプ: local
エージェント: unix
ファミリー: Misc.
公開日: 2025/5/27
更新日: 2025/5/28
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v4
リスクファクター: Critical
Base Score: 9.4
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
脆弱性情報
CPE: cpe:/a:linuxfoundation:containerd
パッチ公開日: 2025/5/20
脆弱性公開日: 2025/5/20
参照情報
CVE: CVE-2025-47290
IAVA: 2025-A-0372