Kubernetes安全漏洞公告(CVE-2025-7342)
Kubernetes安全响应委员会披露了Kubernetes Image Builder中的一个安全漏洞(CVE-2025-7342),这些漏洞可能允许攻击者获得对虚拟机(VM)的root访问权限。
漏洞详情
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
---|---|---|---|
容器逃逸 |
高 |
2025-07-21 |
漏洞影响
使用Kubernetes Image Builder构建的镜像中启用了默认SSH用户名密码(builder用户),这可能允许攻击者获得虚拟机(VM)的root访问权限。CCE节点镜像未使用Kubernetes Image Builder构建,不受该漏洞的影响。
判断方法
请确定您正在使用的Image Builder版本,可参考以下方法之一:
- 通过git从官方仓库克隆的Image Builder,可以通过以下命令查看版本:
cd <本地Image Builder仓库路径> make version
- 使用tarball下载安装的Image Builder,可以通过以下命令查看版本:
cd <本地安装路径> grep -o v0\\.[0-9]* RELEASE.md | head -1
- 通过容器镜像部署的Image Builder,可以通过查看指定的镜像标签(Tag)确定版本,例如官方镜像registry.k8s.io/scl-image-builder/cluster-node-image-builder-amd64:v0.1.44。
漏洞修复方案
CCE公共镜像不受该漏洞影响,建议用户不要使用受漏洞影响的Kubernetes Image Builder(小于等于v0.1.44版本)构建节点私有镜像。
相关链接
相关社区Issue:https://github.com/kubernetes/kubernetes/issues/133115