このページでは、Azure Kubernetes Service (AKS) とそのコンポーネントに影響を与えるセキュリティ脆弱性についての up-to日付情報を提供します。 この情報には、次の詳細情報が含まれます。
- 重大なセキュリティ アドバイザリ – ゼロデイ脆弱性や、直ちに注意を必要とするその他の重要な CVE を含む、影響の大きいセキュリティの脆弱性と軽減ガイダンス。
- 継続的なセキュリティ調査 - 修正プログラムがまだ利用できない、またはさらなる評価が必要な CVE を含む、レビュー中のセキュリティの問題。
- 誤検知と悪用不可能な CVE – 特定の構成、軽減策、または悪用可能性の欠如により、報告された CVE が AKS に影響しない場合。
これらの更新プログラムには、次の AKS コンポーネントに関連するセキュリティ情報が含まれています。
- Azure Kubernetes Service (AKS)
- Azure Kubernetes Service ノード イメージ (AKS ノード イメージ)
- Azure Kubernetes Service アドオン (AKS アドオン)
AKS-2025-007 Kubernetes Nginx イングレス コントローラーの重要なセキュリティ更新プログラム
公開日: 2025 年 3 月 24 日
説明
Kubernetes nginx イングレス コントローラーに影響を与えるいくつかのセキュリティ脆弱性が、2025年3月24日に公開されました: CVE-2025-1098(高)、CVE-2025-1974(重大)、CVE-2025-1097(高)、CVE-2025-24514(高)、およびCVE-2025-24513(中)。
CVE は ingress-nginx に影響します。 (クラスターに ingress-nginx がインストールされていない場合は、影響を受けられません)。 kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx を実行して ingress-nginx を確認できます。
参考資料
影響を受けるコンポーネント
影響を受けるバージョン
- < v1.11.0
- v1.11.0 - 1.11.4
- v1.12.0
解像 度
AKS で アプリケーション ルーティング アドオンでマネージド NGINX イングレス を使用している場合、パッチは AKS v2050316 リリースですべてのリージョンにロールアウトされます。 アクションは必要ありません。 リリースの状態は 、AKS リリース トラッカーから確認できます。
独自の Kubernetes NGINX イングレス コントローラーを実行している場合は、CVE を確認し、最新のパッチ バージョン (v1.11.5 および v1.12.1) に更新して軽減します。
AKS-2025-006 GitRepo ボリュームの不注意によるローカル リポジトリ アクセス
公開日: 2025 年 3 月 13 日
説明
Kubernetes でセキュリティの脆弱性が検出されました。これにより、ポッドの作成アクセス許可を持つユーザーが gitRepo ボリュームを悪用して、同じノード上の他のポッドに属するローカル Git リポジトリにアクセスできる可能性があります。 この CVE は、ツリー内 gitRepo ボリュームを使用して同じノード内の他のポッドから Git リポジトリを複製する Kubernetes クラスターにのみ影響します。 ツリー内 gitRepo ボリューム機能は非推奨となり、Kubernetes アップストリームからセキュリティ更新プログラムを受け取らないため、この機能をまだ使用しているクラスターは脆弱なままです。
参考資料
影響を受けるコンポーネント
影響を受けるバージョン
- すべての AKS クラスター バージョン
解像 度
ツリー内 gitRepo ボリューム機能は非推奨になったため、CVE に対して使用できる修正プログラムはありません。
許可されているボリュームの種類のみが許可されるようにするには、Azure 組み込みのポリシー定義を割り当てます。Kubernetes クラスター ポッドでは、GitRepo ボリュームの使用によるデプロイをブロックする AKS クラスターに対して、強制モードで 許可されたボリュームの種類のみを使用する必要があります 。 許可されているボリュームの種類 は、ここで確認できます。 AKS クラスターで Azure Policy を有効にする方法の詳細な手順については、 Azure Policy を使用した Azure Kubernetes Service (AKS) クラスターのセキュリティ保護に関するページを参照してください。
AKS-2025-005 Calico v3.26 ユーザー向けの重要なセキュリティ更新プログラム
公開日: 2025 年 3 月 24 日
説明
Calico バージョン 3.26 には複数のセキュリティの問題が存在します。これは、現在は終了し、セキュリティ修正プログラムを受け取らなくなりました。 AKS クラスター バージョン 1.29.x 以前で Calico バージョン 3.26 を使用している場合は、Calico のセキュリティ パッチを受け取らなくなります。
参考資料
影響を受けるコンポーネント
影響を受けるバージョン
- AKS バージョン 1.29 以前
解像 度
Calico バージョン 3.28 を使用する AKS クラスター バージョンを 1.30 以降にアップグレードする
AKS-2025-004 Windows の WinSock 用補助ファンクション ドライバーの問題
公開日: 2025 年 2 月 11 日
説明
Windows の WinSock の補助関数ドライバーでセキュリティの問題が検出されました。 この脆弱性により、攻撃者はネットワーク通信の欠陥を悪用し、特権の昇格につながる可能性があります。
参考資料
影響を受けるコンポーネント
影響を受けるバージョン
- Windows バージョン 17763.6775.250117
- Windows バージョン 20348.3091.250117
- Windows バージョン 25398.1369.250117
解像 度
Windows ノード イメージのバージョンを次のバージョンにアップグレードします。
- Windows バージョン 17763.6775.250214
- Windows バージョン 20348.3091.250214
- Windows バージョン 25398.1369.250214
- 以降
AKS-2025-003 Windows Storage での特権の昇格
公開日: 2025 年 2 月 11 日
説明
Windows Storage でセキュリティの問題が検出されました。これにより、低レベルのアクセス権を持つ攻撃者がシステムの欠陥を悪用し、より高い特権を得ることができます。 この脆弱性により、任意のコードが実行されたり、機密データにアクセスされたりする可能性があります。
参考資料
影響を受けるコンポーネント
影響を受けるバージョン
- Windows バージョン 17763.6775.250117
- Windows バージョン 20348.3091.250117
- Windows バージョン 25398.1369.250117
解像 度
Windows ノード イメージのバージョンを次のバージョンにアップグレードします。
- Windows バージョン 17763.6775.250214
- Windows バージョン 20348.3091.250214
- Windows バージョン 25398.1369.250214
- 以降
AKS-2025-002 NTLM ハッシュ漏えいスプーフィング
公開日: 2025 年 2 月 11 日
説明
Windows ユーザーの NTLM ハッシュを公開するセキュリティの問題が検出されました。 この種の脆弱性は、リモートの攻撃者がハッシュをキャプチャし、後でハッシュを使用してプレーンテキスト パスワードを必要とせずにユーザーを偽装するパス ザ ハッシュ攻撃につながる可能性があります。
参考資料
影響を受けるコンポーネント
影響を受けるバージョン
- Windows バージョン 17763.6775.250117
- Windows バージョン 20348.3091.250117
- Windows バージョン 25398.1369.250117
解像 度
Windows ノード イメージのバージョンを次のバージョンにアップグレードします。
- Windows バージョン 17763.6775.250214
- Windows バージョン 20348.3091.250214
- Windows バージョン 25398.1369.250214
- 以降
AKS-2025-001 ServerConfig.PublicKeyCallback に関する golang/crypto の問題
公開日: 2024 年 12 月 11 日
説明
ServerConfig.PublicKeyCallback コールバックでセキュリティの問題が検出されました。これは、承認バイパスの影響を受ける可能性があります。 この脆弱性は、アプリケーションとライブラリが connection.serverAuthenticate メソッドを誤用する場合に発生します。 具体的には、SSH プロトコルを使用すると、クライアントは、対応する秘密キーの制御を証明する前に、公開キーが許容されるかどうかを問い合わせることができます。 この問題により、攻撃者が実際に制御していないキーに基づく承認の決定が間違っている可能性があります
AKS はこの脆弱性を認識しています。 ただし、この CVE は kubernetes では利用できません。 この脆弱性は、PublicKeyCallback API を使用しているユーザーにのみ影響します。 golang は Kubernetes セットアップでこの API を使用せず、パッケージ全体の唯一の使用はテスト スイート内にあり、golang.org/x/crypto は脆弱ではありません。 この脆弱性は、今後の Kubernetes リリース 1.33 で修正プログラムが適用されます。
参考資料
影響を受けるコンポーネント
影響を受けるバージョン
- AKS バージョン 1.32 以前
解像 度
修正 プログラムは 、AKS クラスター バージョン 1.33 で利用可能になります
次のステップ
- CVE ステータスで、CVE 軽減の状態に関する最新情報を取得します。
- AKS リリース ノートを使用して、最新のノード イメージに関する更新プログラムを取得します。
- Azure Kubernetes Service (AKS) ノード イメージのアップグレードを使用して AKS ノード イメージをアップグレードする方法について説明します。
- ノード イメージの自動アップグレードを使用してノード イメージを自動的にアップグレードする方法について説明します。
- AKS クラスターのアップグレードを使用して Kubernetes バージョン をアップグレードする方法について説明します。
- AKS パッチとアップグレード ガイダンスを使用したベスト プラクティスのアップグレードについて説明します。
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
Azure Kubernetes Service