更新时间:2025-03-26 GMT+08:00
Kubernetes安全漏洞公告(CVE-2025-0426)
CVE-2025-0426是Kubernetes中的一个拒绝服务(DoS)漏洞,影响kubelet的只读HTTP端口。当攻击者向该端点发送大量/checkpoint接口请求时,可能会导致节点磁盘空间被迅速填满,从而引发节点拒绝服务。
漏洞详情
|
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
|---|---|---|---|
|
拒绝服务 |
中 |
2025-02-13 |
漏洞影响
漏洞影响范围如下:
- kubelet v1.32.0 ~ v1.32.1
- kubelet v1.31.0 ~ v1.31.5
- kubelet v1.30.0 ~ v1.30.9
kubelet 1.25到1.29版本特性开关ContainerCheckpoint默认关闭,不会触发漏洞。
只有在启用了kubelet只读HTTP端口,并且使用支持容器检查点功能的容器运行时(containerd v2.0+ , docker v1.13+,且开启criu)的Kubernetes集群中,才会受到此漏洞的影响。
CCE集群节点运行时containerd使用的版本为v1.6和v1.7,docker使用的版本为18.09,默认未开启criu,因此漏洞不会触发。
判断方法
如果kubelet的HTTP只读端口收到大量针对/checkpoint 接口的请求,或者节点的/var/lib/kubelet/checkpoints目录(默认设置)中出现大量检查点文件,这可能表明有攻击者正在利用此漏洞发起拒绝服务攻击。
漏洞修复方案
华为云CCE集群节点的容器运行时未启用criu,默认不会触发CVE-2025-0426漏洞,请勿自行启用criu参数。CCE将在新版本回合社区代码修复,请关注补丁版本发布记录。
父主题: 漏洞公告
