NVIDIA Container Toolkit Vulnerability Allows Privileged Code Execution by Attackers
2025/07/17 gbhackers — NVIDIA が公表したのは、Container Toolkit/GPU Operator の深刻な脆弱性 CVE-2025-23266/CVE-2025-23267に対する、セキュリティ更新プログラムのリリースである。これらの脆弱性の悪用に成功した攻撃者は、特権昇格および任意のコード実行の可能性を得る。2025年7月に発見された、これらの脆弱性は、Container Toolkit の 1.17.7 以下/GPU Operator 25.3.0 以下の、すべてのバージョンに影響を及ぼすものだ。すでに NVIDIA は修正バージョンを提供し、ユーザーに対して速やかなセキュリティ・パッチの適用と緩和策の実施を推奨している。
脆弱性 CVE-2025-23266/23267 の詳細
1つ目の深刻な脆弱性 CVE-2025-23266 (CVSS:9.0) は、すべてのプラットフォームのコンテナ・ツールキット内の、初期化フックに影響を及ぼすものだ。
この脆弱性の悪用に成功した攻撃者は、特権での任意のコード実行を可能とする。その結果として、特権昇格/データ改竄/情報漏洩/サービス拒否攻撃などが生じる恐れがある。
この脆弱性は、コンテナの初期化プロセスの欠陥を突くものであるため、コンテナ環境における深刻な脅威となり得る。
2つ目の脆弱性 CVE-2025-23267 (CVSS:8.5) は、update-ldcache フックに存在する。この脆弱性を悪用する攻撃者は、特別に作成されたコンテナ・イメージを介した、リンク追跡攻撃を可能にする。
1つ目の脆弱性ほど深刻ではないが、この脆弱性も、データ改竄やサービス拒否攻撃などの、深刻なリスクを引き起こすものとされる。
| CVE ID | Description | CVSS Score | Severity | CWE | Impact |
| CVE-2025-23266 | Arbitrary code execution in container initialization hooks | 9.0 | Critical | CWE-426 | Privilege escalation, data tampering, information disclosure, denial of service |
| CVE-2025-23267 | Link following vulnerability in update-ldcache hook | 8.5 | High | CWE-59 | Data tampering, denial of service |
影響を受ける製品と対策
これら2つの脆弱性は、すべてのプラットフォーム上の NVIDIA Container Toolkit および、Linux システム上の GPU Operator に影響を与える。
脆弱なバージョンである、 Container Toolkit 1.17.7 以下/GPU Operator 25.3.0 以下を実行している組織に推奨されるのは、パッチ適用済みのバージョンである Container Toolkit 1.17.8 /GPU Operator 25.3.1 へと、速やかにアップグレードすることだ。
永続的な修正を実施する場合には、最新バージョンへの更新が必須となるが、迅速なアップデートが難しいケースにおける、以下の一時的な緩和策も、NVIDIA は提供している:
- User:コンフィグ・ファイル/環境変数の変更により、enable-cuda-compat フックを無効化する。
- Container Runtime User:config.toml ファイルの編集により、disable-cuda-compat-lib-hook フラグを true に設定する。
- GPU Operator User:Helm のインストール/アップグレード時に、環境変数に disable-cuda-compat-lib-hook フラグを追加することで、同様の保護を実現できる。
セキュリティ専門家たちが、ユーザーに対して推奨するのは、これらの脆弱性の深刻さとコンテナ環境での悪用可能性を踏まえ、速やかにパッチを適用することだ。また、NVIDIA Container Toolkit/GPU Operator 環境に対して、暫定的な保護措置を優先して実施することも有効である。
NVIDIA のコンテナ関連ツールに脆弱性が発見されましたが、初期化プロセスに起因する問題やリンクの扱いの注意点など、実際の運用で想定される課題が説明されています。パッチ適用に加えて、暫定的な緩和策も役立ちそうです。ご利用のチームは、ご確認ください。よろしければ、NVIDIA で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.