本页提供影响 Azure Kubernetes 服务 (AKS) 及其组件的安全漏洞的最新信息。 此信息包括有关以下方面的详细信息:
- 关键安全公告 – 影响重大的安全漏洞,包括零日漏洞和其他需要立即注意的关键 CVE,以及缓解指南。
- 正在进行的安全调查 - 正在评审的安全问题,包括尚未提供补丁的或需要进一步评估的 CVE。
- 误报和 CVE 不可利用 - 因特定配置、缓解措施或缺乏可利用性而导致报告的 CVE 不会影响 AKS 的情况。
这些更新涵盖与以下 AKS 组件相关的安全信息:
- Azure Kubernetes 服务 (AKS)
- Azure Kubernetes 服务节点映像(AKS 节点映像)
- Azure Kubernetes 服务加载项(AKS 加载项)
AKS-2025-0010 节点可以通过添加 OwnerReference 来删除自己
发布日期:2025 年 8 月 15 日
DESCRIPTION
Kubernetes NodeRestriction 准入控制器中发现了一个安全问题,这个问题可能允许节点用户通过将其节点对象用一个指向集群范围资源的 OwnerReference 进行修补而删除自己的节点对象。 如果删除引用的资源或节点对象,Kubernetes 垃圾回收可能会删除节点对象。 出现此问题的原因是节点用户有权执行创建和修补作,但不能删除。 被攻陷的节点可能会利用此漏洞重新创建其节点对象,并修改污点或标签,这可能会影响 Pod 调度并获得对工作负荷的控制权。
参考文献
受影响的组件
受影响的版本
决议
AKS-2025-009 Calico 用户的重要安全更新
发布日期:2025 年 7 月 21 日
DESCRIPTION
本公告提供有关 Azure Kubernetes 服务 (AKS) 中 Calico 的安全修补模型更新。 AKS 管理的 Calico 和 Tigera 运算符现在与上游 Calico 版本 和 Tigera Operator 版本完全一致。 这意味着 AKS 将不再独立修补 Calico 和 Tigera 操作员映像,而是直接镜像上游版本。
因此,影响 Calico 和 Tigera 运算符的 CVE 将在 AKS 中保持未修补,直到修补程序在上游可用。 此更改可确保与上游行为的一致性,并提高修补时间线的透明度。
参考文献
受影响的组件
受影响的版本
- 使用 AKS 托管 Calico 的所有 AKS 支持版本
决议
- 无需立即执行任何作。 建议客户监视上游 Calico 版本和 AKS CVE 状态跟踪器 以获取更新。
- 如果这造成了不合理的安全负担,可以通过将网络策略设置为“无”来 删除 calico 。
AKS-2025-008 节点可以绕过动态资源分配授权检查
发布日期:2025 年 6 月 19 日
DESCRIPTION
Kubernetes 中已发现与 DynamicResourceAllocation 功能相关的安全问题。 启用后,此功能可能允许用户拥有 Pod 创建权限的用户提升特权或访问节点上未经授权的资源。
此漏洞仅影响显式启用 DynamicResourceAllocation 功能的群集。
参考文献
受影响的组件
受影响的版本
- 没有
决议
- AKS 在任何受支持版本中均不支持或启用
DynamicResourceAllocation功能。 AKS 群集不容易受到此问题的侵害。 - 尽管 AKS 不受影响,但上游修补程序将包含在以下 AKS 群集版本中: - AKS 1.32.6 - AKS 1.33.2
- 除非您准备在将来使用这个功能,否则不需要用户采取行动。 建议客户在可用后升级到固定版本。
AKS-2025-007 Kubernetes Nginx 入口控制器的重要安全更新
发布日期:2025 年 3 月 24 日
DESCRIPTION
2025 年 3 月 24 日披露了几个影响 Kubernetes nginx 入口控制器的安全漏洞:CVE-2025-1098(高)、CVE-2025-1974(严重)、CVE-2025-1097(高)、CVE-2025-24514(高)和 CVE-2025-24513(中)。
CVE 影响 ingress-nginx。 (如果群集上没有安装 ingress-nginx,你不会受到影响。)可以通过运行 kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx 来检查 ingress-nginx。
参考文献
受影响的组件
受影响的版本
- < v1.11.0
- v1.11.0 - 1.11.4
- v1.12.0
决议
如果在 AKS 上使用带应用程序路由加载项的托管 NGINX 入口,则补丁会随 AKS v2050316 版本推出到所有区域。 无需执行任何操作。 可以从 AKS 发布跟踪器中检查发布状态。
如果运行的是自己的 Kubernetes NGINX 入口控制器,请查看 CVE,并通过更新到最新的修补程序版本(v1.11.5 和 v1.12.1)来缓解此问题。
AKS-2025-006 GitRepo 卷无意中访问本地存储库
发布日期:2025 年 3 月 13 日
DESCRIPTION
Kubernetes 中发现了一个安全漏洞,该漏洞允许用户创建 Pod 权限,以利用 gitRepo 卷访问属于同一节点上其他 Pod 的本地 git 存储库。 此 CVE 仅影响利用树内 gitRepo 卷从同一节点中的其他 Pod 克隆 git 存储库的 Kubernetes 群集。 由于已弃用树内 gitRepo 卷功能,并且不会从 Kubernetes 上游接收安全更新,因此仍使用此功能的任何群集仍易受攻击。
参考文献
受影响的组件
受影响的版本
- 所有 AKS 群集版本
决议
由于已弃用树内 gitRepo 卷功能,因此没有可用于 CVE 的修补程序。
为了确保只允许卷类型,请在强制模式下向阻止使用 gitRepo 卷进行部署的 AKS 群集分配 Azure 内置策略定义 - Kubernetes 群集 Pod 应仅使用允许的卷类型。 可在此处查看允许的卷类型。 有关如何在 AKS 群集上启用 Azure Policy 的详细步骤,请查看 使用 Azure Policy 保护 Azure Kubernetes 服务 (AKS) 群集。
AKS-2025-005 Calico v3.26 用户的重要安全更新
发布日期:2025 年 3 月 24 日
DESCRIPTION
Calico 版本 3.26 中存在多个安全问题,该版本现已结束,不再收到安全修补程序。 如果在 AKS 群集版本 1.29.x 或更高版本上使用 Calico 版本 3.26,则不再收到 Calico 的安全修补程序。
参考文献
受影响的组件
受影响的版本
- AKS 版本 1.29 及更低版本
决议
将 AKS 群集版本升级到使用 Calico 版本 3.28 的 1.30 或更高版本
AKS-2025-004 Windows 中的 WinSock 辅助功能驱动程序中的问题
发布日期:2025 年 2 月 11 日
DESCRIPTION
Windows 中 WinSock 的辅助函数驱动程序中发现了安全问题。 此漏洞允许攻击者利用网络通信缺陷,这可能会导致特权提升。
参考文献
受影响的组件
受影响的版本
- Windows 版本 17763.6775.250117
- Windows 版本 20348.3091.250117
- Windows 版本 25398.1369.250117
决议
将 Windows 节点映像版本升级到:
- Windows 版本 17763.6775.250214
- Windows 版本 20348.3091.250214
- Windows 版本 25398.1369.250214
- 或更高版本
AKS-2025-003 Windows 存储中的特权提升
发布日期:2025 年 2 月 11 日
DESCRIPTION
Windows 存储中发现了一个安全问题,允许具有低级别访问权限的攻击者利用系统缺陷并获取更高的权限。 此漏洞可能会导致执行任意代码或访问敏感数据。
参考文献
受影响的组件
受影响的版本
- Windows 版本 17763.6775.250117
- Windows 版本 20348.3091.250117
- Windows 版本 25398.1369.250117
决议
将 Windows 节点映像版本升级到:
- Windows 版本 17763.6775.250214
- Windows 版本 20348.3091.250214
- Windows 版本 25398.1369.250214
- 或更高版本
AKS-2025-002 NTLM 哈希披露欺骗
发布日期:2025 年 2 月 11 日
DESCRIPTION
发现了公开 Windows 用户的 NTLM 哈希的安全问题。 此类漏洞可能导致传递哈希攻击,远程攻击者捕获和以后使用哈希来模拟用户,而无需纯文本密码。
参考文献
受影响的组件
受影响的版本
- Windows 版本 17763.6775.250117
- Windows 版本 20348.3091.250117
- Windows 版本 25398.1369.250117
决议
将 Windows 节点映像版本升级到:
- Windows 版本 17763.6775.250214
- Windows 版本 20348.3091.250214
- Windows 版本 25398.1369.250214
- 或更高版本
golang/crypto 中的 AKS-2025-001 ServerConfig.PublicKeyCallback 问题
发布日期:2024 年 12 月 11 日
DESCRIPTION
ServerConfig.PublicKeyCallback 回调中发现了一个安全问题,该回调可能容易绕过授权。 当应用程序和库滥用 connection.serverAuthenticate 方法时,会出现此漏洞。 具体而言,SSH 协议允许客户端在证明对相应私钥的控制之前查询公钥是否可接受。 此问题可能会导致基于攻击者实际无法控制的密钥做出不正确的授权决策
AKS 已经意识到该漏洞。 但是,对于 Kubernetes,此 CVE 不是可利用的。 此漏洞仅影响使用 PublicKeyCallback API 的用户。 由于 golang 在 Kubernetes 设置中不使用此 API,并且整个包的唯一使用在测试套件中 golang.org/x/crypto 并不易受攻击。 即将发布的 Kubernetes 版本 1.33 中修补了漏洞。
参考文献
受影响的组件
受影响的版本
- AKS 版本 1.32 及更早版本
决议
修补程序将在 AKS 群集版本 1.33 中提供
后续步骤
- 使用 CVE 状态获取有关 CVE 缓解状态的更新。
- 通过 AKS 发行说明获取有关最新节点映像的更新。
- 通过升级 Azure Kubernetes 服务 (AKS) 节点映像了解如何升级 AKS 节点映像。
- 了解如何使用自动升级节点映像来自动升级节点映像。
- 了解如何通过 升级 AKS 群集 来升级 Kubernetes 版本。