文档首页/ 云容器引擎 CCE_Autopilot集群/ 服务公告/ 漏洞公告/ Kubernetes安全漏洞公告(CVE-2025-0426)
更新时间:2025-03-27 GMT+08:00
分享

Kubernetes安全漏洞公告(CVE-2025-0426)

CVE-2025-0426是Kubernetes中的一个拒绝服务(DoS)漏洞,影响kubelet的只读HTTP端口。当攻击者向该端点发送大量/checkpoint接口请求时,可能会导致节点磁盘空间被迅速填满,从而引发节点拒绝服务。

漏洞详情

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

拒绝服务

CVE-2025-0426

2025-02-13

漏洞影响

漏洞影响范围如下:

  • kubelet v1.32.0 ~ v1.32.1
  • kubelet v1.31.0 ~ v1.31.5
  • kubelet v1.30.0 ~ v1.30.9

kubelet 1.25到1.29版本特性开关ContainerCheckpoint默认关闭,不受影响。

只有在启用了kubelet只读HTTP端口,并且使用支持容器检查点功能的容器运行时(containerd v2.0+ , docker v1.13+,且开启criu)的Kubernetes 集群中,才会受到此漏洞的影响。

目前,CCE Autopilot集群使用的containerd版本为v1.6和v1.7,默认未开启criu,因此不受此漏洞影响

判断方法

如果kubelet的HTTP只读端口收到大量针对/checkpoint接口的请求,这可能表明有攻击者正在利用此漏洞发起拒绝服务攻击。

漏洞修复方案

CCE Autopilot集群未启用criu,不在受影响范围,不会触发CVE-2025-0426漏洞。请勿自行启用criu参数,同时,CCE将在新版本回合社区代码修复,请关注Autopilot集群补丁版本发布记录

相关文档