文档首页/ 云容器引擎 CCE/ 服务公告/ 漏洞公告/ NVIDIA Container Toolkit容器逃逸漏洞公告(CVE-2025-23266、CVE-2025-23267)
更新时间:2025-07-25 GMT+08:00
分享

NVIDIA Container Toolkit容器逃逸漏洞公告(CVE-2025-23266、CVE-2025-23267)

NVIDIA Container Toolkit是一个由NVIDIA提供的开源工具包,它允许您在容器化环境中利用NVIDIA GPU进行加速计算。工具包包括一个容器运行时库和实用程序,用于自动配置容器以利用NVIDIA GPU。

漏洞详情

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

容器逃逸

CVE-2025-23266

严重

2025-07-17

数据篡改、拒绝服务

CVE-2025-23267

2025-07-17

漏洞影响

在NVIDIA Container Toolkit v1.17.7及更早版本的环境中,攻击者通过运行一个恶意镜像,可能实现容器逃逸,从而获得主机系统的访问权限。成功利用此漏洞可能会导致权限提升、数据篡改、信息泄露和拒绝服务

判断方法

  1. 如果集群未安装CCE AI套件(NVIDIA GPU)插件或插件版本低于2.0.0,则不涉及该漏洞。

    CCE AI套件(NVIDIA GPU)插件老版本命名为:gpu-beta、gpu-device-plugin。

  2. 如果CCE AI套件(NVIDIA GPU)插件版本在2.0.0 - 2.2.1及2.5.0 - 2.8.1范围内,请登录GPU节点执行以下命令:
    nvidia-container-runtime --version
    • 若显示无此命令,则不涉及该漏洞。
    • 若显示nvidia-container-runtime版本低于1.17.8,则涉及该漏洞。

漏洞修复方案

在完成漏洞修复前,避免在集群中运行不可信的容器镜像。

CCE已发布新版本插件修复该漏洞,请将插件升级至已修复版本,详情请参见CCE AI套件(NVIDIA GPU)版本发布记录

相关链接

NVIDIA Container Toolkit安全公告:https://nvidia.custhelp.com/app/answers/detail/a_id/5659

相关文档