漏洞CVE-2025-23266公告

前提条件

• 确认操作的阿里云账号或RAM用户拥有系统运维管理（OOS）的操作权限AliyunOOSFullAccess。

• 确认集群是否安装cGPU模块。如未安装，可直接从步骤1：节点排水开始执行操作。如已安装，请确保其版本为1.1.0及以上。

  展开查看如何确认集群是否安装cGPU模块及如何升级

  1. 登录容器服务管理控制台，在左侧导航栏选择集群列表。

  2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择应用 > Helm。

  3. 在Helm详情页面，查看组件版本。

     • 不存在ack-cgpu：表明未安装cGPU模块。

     • 同时存在ack-ai-installer和ack-cgpu：提交工单处理。

     • 存在ack-ai-installer：若组件版本为1.7.5以下，请升级ack-ai-installer组件。相关操作，请参见升级共享GPU调度组件。

     • 存在ack-cgpu：若版本为1.5.1以下，请单击组件右侧更新，按照页面指引完成组件的升级。

  4. 相关组件升级完成后，针对集群中存量cGPU节点，请参见升级节点cGPU版本。

步骤1：节点排水

步骤2：节点上执行修复脚本

1. 登录容器服务管理控制台，在左侧导航栏选择集群列表。

2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择节点管理 > 节点。

3. 在节点页面中勾选目标节点并单击最下方批量运维，在弹出框中选中执行 Shell 命令后，单击确定。

4. 在弹出系统运维管理（OOS）的基本信息页签中，参见如下表格进行配置，然后单击下一步：设置参数。

   配置项	参数
   模板类别	公共任务模板
   模板选择	ACS-ECS-BulkyRunCommand
   执行模式	失败暂停

5. 在设置参数页签中单击运行Shell脚本，并将如下CVE修复脚本放入命令内容中，单击下一步：确定。

   #!/bin/bash
   set -e
   # 设置节点所在的region
   export REGION=$(curl 100.100.100.200/latest/meta-data/region-id 2>/dev/null)
   
   if [[ $REGION == "" ]];then
       echo "Error: failed to get region"
       exit 1
   fi
   
   NV_TOOLKIT_VERSION=1.17.8
   
   PACKAGE=upgrade_nvidia-container-toolkit-${NV_TOOLKIT_VERSION}.tar.gz
   
   cd /tmp
   
   curl -o ${PACKAGE}  http://aliacs-k8s-${REGION}.oss-${REGION}-internal.aliyuncs.com/public/pkg/nvidia-container-runtime/${PACKAGE} 
   
   tar -xf ${PACKAGE} 
   
   cd pkg/nvidia-container-runtime/upgrade/common
   
   bash upgrade-nvidia-container-toolkit.sh

6. 在确定页签中核对创建信息，确认无误后单击创建。

7. 任务执行成功后，在系统运维管理控制台左侧导航栏，选择自动化任务 > 任务执行管理，找到并单击对应任务执行ID。然后在执行步骤和结果区域查看输出。

   • 如果脚本输出如下内容，当前节点环境不存在cve漏洞，机器上未执行任何变更，可忽略。

     2025-03-22/xxxx  INFO  No need to upgrade current nvidia-container-toolkit(1.17.8)

   • 如果脚本输出如下内容，那么表示该节点环境存在NVIDIA Container Toolkit漏洞且已被修复。

     2025-03-22/xxxxx  INFO  succeed to upgrade nvidia container toolkit

步骤3：节点设置为可调度

kubectl uncordon <NODE_NAME>

（可选）步骤4：验证GPU节点

完成上述操作以后，建议参考如下文档中的示例YAML部署一个GPU应用，验证节点是否能够正常工作。

• 独占GPU：使用Kubernetes默认GPU调度。

• 共享GPU：运行共享GPU调度示例。