影響范圍

ACK Edge集群中的GPU節點安裝了NVIDIA Container Toolkit組件，且組件版本為1.16.1及以下。

解決方案

• 新建GPU節點：針對2024年10月27日及之后新建的GPU節點，ACK Edge集群已在1.20及以上版本的集群中發布了NVIDIA Container Toolkit v1.16.2，可自動完成修復。您可以新建節點，正常使用。

  若您的集群版本較低，建議您及時升級版本，請參見升級集群。

• 存量GPU節點：針對2024年10月27日之前創建的存量GPU節點，均需通過執行CVE修復腳本進行手動修復。

  • 若您的節點為云上節點，修復方式請參見解決方案。

  • 若您的節點為邊緣節點，修復方式請參見下文。

• 在修復過程中，請分批進行節點修復操作，避免同時修復所有節點，以確保系統穩定性。

步驟一：節點排水

步驟二：節點上執行修復腳本

1. 針對受影響的節點，需在節點上執行以下腳本。

   export REGION="" INTERCONNECT_MODE=""; export INTERNAL=$( [ "$INTERCONNECT_MODE" = "private" ] && echo "-internal" || echo "" ); wget http://aliacs-k8s-${REGION}.oss-${REGION}${INTERNAL}.aliyuncs.com/public/pkg/edge/fix-nvidia-cve.sh -O /tmp/fix-nvidia-cve.sh && bash /tmp/fix-nvidia-cve.sh;

   參數說明：

   參數	說明	示例
   REGION	指定集群所在地域的Region ID。	cn-hangzhou ACK Edge集群支持的地域及其Region ID，請參見開服地域。
   INTERCONNECT_MODE	指定節點接入的網絡類型。 basic：公網接入。 private：專線接入。	basic

2. 查看輸出結果。

   如果腳本輸出如下內容，表明當前節點環境不存在CVE漏洞，機器上未執行任何變更，可忽略。

   The current version of Nvidia container toolkit is safe, no cve.

   如果腳本輸出如下內容，那么表示該節點環境存在NVIDIA Container Toolkit漏洞且已被修復。

   2024-10-10/xxxxx  INFO  succeeded to fix nvidia container toolkit cve

步驟三：節點上線

kubectl uncordon <NODE_NAME>

安全加固建議

使用啟用安全策略管理中的ACKAllowedRepos策略，限制只使用可信倉庫來源的鏡像，同時基于最小化權限原則確保只有可信人員具有導入鏡像的權限。