你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本页提供影响 Azure Kubernetes 服务 (AKS) 及其组件的安全漏洞的最新信息。 此信息包括有关以下方面的详细信息:
- 关键安全公告 – 影响重大的安全漏洞,包括零日漏洞和其他需要立即注意的关键 CVE,以及缓解指南。
- 正在进行的安全调查 - 正在评审的安全问题,包括尚未提供补丁的或需要进一步评估的 CVE。
- 误报和 CVE 不可利用 - 因特定配置、缓解措施或缺乏可利用性而导致报告的 CVE 不会影响 AKS 的情况。
这些更新涵盖与以下 AKS 组件相关的安全信息:
- Azure Kubernetes 服务 (AKS)
- Azure Kubernetes 服务节点映像(AKS 节点映像)
- Azure Kubernetes 服务加载项(AKS 加载项)
AKS-2025-007 Kubernetes Nginx 入口控制器的重要安全更新
发布日期:2025 年 3 月 24 日
DESCRIPTION
2025 年 3 月 24 日披露了几个影响 Kubernetes nginx 入口控制器的安全漏洞:CVE-2025-1098(高)、CVE-2025-1974(严重)、CVE-2025-1097(高)、CVE-2025-24514(高)和 CVE-2025-24513(中)。
CVE 影响 ingress-nginx。 (如果群集上没有安装 ingress-nginx,你不会受到影响。)可以通过运行 kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx 来检查 ingress-nginx。
参考文献
受影响的组件
受影响的版本
- < v1.11.0
- v1.11.0 - 1.11.4
- v1.12.0
决议
如果在 AKS 上使用带应用程序路由加载项的托管 NGINX 入口,则补丁会随 AKS v2050316 版本推出到所有区域。 无需执行任何操作。 可以从 AKS 发布跟踪器中检查发布状态。
如果运行的是自己的 Kubernetes NGINX 入口控制器,请查看 CVE,并通过更新到最新的修补程序版本(v1.11.5 和 v1.12.1)来缓解此问题。
AKS-2025-006 GitRepo 卷无意中访问本地存储库
发布日期:2025 年 3 月 13 日
DESCRIPTION
Kubernetes 中发现了一个安全漏洞,该漏洞允许用户创建 Pod 权限,以利用 gitRepo 卷访问属于同一节点上其他 Pod 的本地 git 存储库。 此 CVE 仅影响利用树内 gitRepo 卷从同一节点中的其他 Pod 克隆 git 存储库的 Kubernetes 群集。 由于已弃用树内 gitRepo 卷功能,并且不会从 Kubernetes 上游接收安全更新,因此仍使用此功能的任何群集仍易受攻击。
参考文献
受影响的组件
受影响的版本
- 所有 AKS 群集版本
决议
由于已弃用树内 gitRepo 卷功能,因此没有可用于 CVE 的修补程序。
为了确保只允许卷类型,请在强制模式下向阻止使用 gitRepo 卷进行部署的 AKS 群集分配 Azure 内置策略定义 - Kubernetes 群集 Pod 应仅使用允许的卷类型。 可在此处查看允许的卷类型。 有关如何在 AKS 群集上启用 Azure Policy 的详细步骤,请查看 使用 Azure Policy 保护 Azure Kubernetes 服务 (AKS) 群集。
AKS-2025-005 Calico v3.26 用户的重要安全更新
发布日期:2025 年 3 月 24 日
DESCRIPTION
Calico 版本 3.26 中存在多个安全问题,该版本现已结束,不再收到安全修补程序。 如果在 AKS 群集版本 1.29.x 或更高版本上使用 Calico 版本 3.26,则不再收到 Calico 的安全修补程序。
参考文献
受影响的组件
受影响的版本
- AKS 版本 1.29 及更低版本
决议
将 AKS 群集版本升级到使用 Calico 版本 3.28 的 1.30 或更高版本
AKS-2025-004 Windows 中的 WinSock 辅助功能驱动程序中的问题
发布日期:2025 年 2 月 11 日
DESCRIPTION
Windows 中 WinSock 的辅助函数驱动程序中发现了安全问题。 此漏洞允许攻击者利用网络通信缺陷,这可能会导致特权提升。
参考文献
受影响的组件
受影响的版本
- Windows 版本 17763.6775.250117
- Windows 版本 20348.3091.250117
- Windows 版本 25398.1369.250117
决议
将 Windows 节点映像版本升级到:
- Windows 版本 17763.6775.250214
- Windows 版本 20348.3091.250214
- Windows 版本 25398.1369.250214
- 或更高版本
AKS-2025-003 Windows 存储中的特权提升
发布日期:2025 年 2 月 11 日
DESCRIPTION
Windows 存储中发现了一个安全问题,允许具有低级别访问权限的攻击者利用系统缺陷并获取更高的权限。 此漏洞可能会导致执行任意代码或访问敏感数据。
参考文献
受影响的组件
受影响的版本
- Windows 版本 17763.6775.250117
- Windows 版本 20348.3091.250117
- Windows 版本 25398.1369.250117
决议
将 Windows 节点映像版本升级到:
- Windows 版本 17763.6775.250214
- Windows 版本 20348.3091.250214
- Windows 版本 25398.1369.250214
- 或更高版本
AKS-2025-002 NTLM 哈希披露欺骗
发布日期:2025 年 2 月 11 日
DESCRIPTION
发现了公开 Windows 用户的 NTLM 哈希的安全问题。 此类漏洞可能导致传递哈希攻击,远程攻击者捕获和以后使用哈希来模拟用户,而无需纯文本密码。
参考文献
受影响的组件
受影响的版本
- Windows 版本 17763.6775.250117
- Windows 版本 20348.3091.250117
- Windows 版本 25398.1369.250117
决议
将 Windows 节点映像版本升级到:
- Windows 版本 17763.6775.250214
- Windows 版本 20348.3091.250214
- Windows 版本 25398.1369.250214
- 或更高版本
golang/crypto 中的 AKS-2025-001 ServerConfig.PublicKeyCallback 问题
发布日期:2024 年 12 月 11 日
DESCRIPTION
ServerConfig.PublicKeyCallback 回调中发现了一个安全问题,该回调可能容易绕过授权。 当应用程序和库滥用 connection.serverAuthenticate 方法时,会出现此漏洞。 具体而言,SSH 协议允许客户端在证明对相应私钥的控制之前查询公钥是否可接受。 此问题可能会导致基于攻击者实际无法控制的密钥做出不正确的授权决策
AKS 已经意识到该漏洞。 但是,对于 Kubernetes,此 CVE 不是可利用的。 此漏洞仅影响使用 PublicKeyCallback API 的用户。 由于 golang 在 Kubernetes 设置中不使用此 API,并且整个包的唯一使用在测试套件中 golang.org/x/crypto 并不易受攻击。 即将发布的 Kubernetes 版本 1.33 中修补了漏洞。
参考文献
受影响的组件
受影响的版本
- AKS 版本 1.32 及更早版本
决议
修补程序将在 AKS 群集版本 1.33 中提供
后续步骤
- 使用 CVE 状态获取有关 CVE 缓解状态的更新。
- 通过 AKS 发行说明获取有关最新节点映像的更新。
- 通过升级 Azure Kubernetes 服务 (AKS) 节点映像了解如何升级 AKS 节点映像。
- 了解如何使用 自动升级节点映像 来自动升级节点映像。
- 了解如何通过 升级 AKS 群集 来升级 Kubernetes 版本。
- 了解如何使用 AKS 修补程序和升级指南升级最佳做法。
