关键漏洞信息 漏洞描述 标题: containerd CRI plugin: Incorrect cgroup hierarchy assignment for containers running in usernamespace Kubernetes pods. CVE ID: CVE-2025-47291 严重性: Moderate 影响 问题: 在containerd的CRI实现中发现了一个bug,导致containerd没有将usernamespaced容器置于Kubernetes的cgroup层次结构下,因此某些Kubernetes限制未被遵守。这可能导致Kubernetes节点的服务拒绝。 受影响版本: 2.0.1 - 2.0.4 修复版本: >= 2.0.5, >= 2.1.0 解决方案 补丁: 该bug已在containerd 2.0.5+和2.1.0+版本中修复。用户应更新到这些版本以解决此问题。 权宜之计 临时措施: 在Kubernetes中暂时禁用usernamespaced pods。 致谢 报告者: Rodrigo Campos Catelin 和 Piotr Rogowski 联系方式 更多问题: - 开启一个issue在 containerd - 发送邮件至 security@containerd.io 报告新漏洞: - Report a new vulnerability - 发送邮件至 security@containerd.io