Kubernetes安全漏洞公告(CVE-2025-5187)
Kubernetes社区近日公布了一个安全漏洞(CVE-2025-5187),Node可以通过添加OwnerReference来删除自身。
漏洞详情
|
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
|---|---|---|---|
|
资源管理错误 |
中 |
2025-08-12 |
在Kubernetes的NodeRestriction准入控制器中存在一个漏洞:Node的user可以给自己的Node节点添加指向集群范围资源(cluster-scoped resource)的OwnerReference,如果这个OwnerReference所指的资源不存在或者被删除,那么该Node会被垃圾回收机制(Garbage Collection)删除。
在默认情况下,Node的user有权限对其节点对象执行create和patch请求,但没有删除权限。由于NodeRestriction插件不禁止对OwnerReferences字段patch操作,攻击者可以利用这一漏洞在节点被攻陷后,删除原有的Node,重新创建一个新的Node,可以绕过NodeRestriction插件对污点(taints)或标签(labels)的修改限制,从而创建带有恶意taints或labels的Node,可能导致调度器将特定的Pod调度到这个被攻陷的Node上,实现Node劫持或工作负载控制。
漏洞影响
根据社区披露,受影响kube-apiserver版本为:
- kube-apiserver: <= v1.31.11
- kube-apiserver: <= v1.32.7
- kube-apiserver: <= v1.33.3
对于华为云CCE,受影响的集群版本为v1.27.16-r40、v1.28.15-r30、v1.29.13-r10、v1.30.10-r10、v1.31.6-r10、v1.32.5-r0以下。
但当前持有Node的user权限的证书和密钥(节点路径/opt/cloud/cce/kubernetes/kubelet/pki/kubelet-client-current.pem)已经加密处理,风险影响可控。
判断方法
登录CCE控制台,单击集群名称进入集群总览页面,查看集群版本。
- 如果集群版本不在集群版本范围内则不受漏洞影响。
- 如果集群版本在受影响范围内,您可以使用采集Kubernetes审计日志功能,切换至“日志中心 > Kubernetes审计日志”页签,搜索以下关键字,检查集群中是否存在该漏洞被利用的情况。
content : patch AND content : nodes AND content : OwnerReferences
如下图所示,当前未查询到日志,则表明不存在异常操作。
漏洞修复方案
当前CCE团队已修复该漏洞,请您关注补丁版本发布记录,及时将集群升级至漏洞修复版本。已EOS集群版本请升级到在维版本进行修复。
已修复集群版本:v1.27.16-r40、v1.28.15-r30、v1.29.13-r10、v1.30.10-r10、v1.31.6-r10、v1.32.5-r0及以上版本。
相关链接
相关社区Issue:https://github.com/kubernetes/kubernetes/issues/133471
