此頁面提供有關影響 Azure Kubernetes Service (AKS) 及其元件的安全性弱點之最新資訊。 此資訊包括下列項目的詳細資料:
- 重大安全性諮詢 – 高影響的安全性弱點,包括零時差弱點和其他需要立即注意的重要 CVE,以及風險降低指引。
- 正在進行的安全性調查 - 正在檢閱的安全性問題,包括尚未提供修正程式或需要進一步評定的 CVE。
- 誤判和不可利用的 CVE - 由於特定設定、風險降低或缺乏可利用性,報告的 CVE 不會影響 AKS 的案例。
這些更新涵蓋與下列 AKS 元件相關的安全性資訊:
- Azure Kubernetes Service (AKS)
- Azure Kubernetes Service 節點映射 (AKS 節點映射)
- Azure Kubernetes Service 插件 (AKS 插件)
AKS-2025-007 Kubernetes Nginx 輸入控制器的重要安全性更新
發佈日期:2025年3月24日
說明
2025年3月24日披露了影響Kubernetes nginx入口控制器的數個安全性漏洞:CVE-2025-1098(高)、CVE-2025-1974(重大)、CVE-2025-1097(高)、CVE-2025-24514(高)和CVE-2025-24513(中)。
CVE 影響輸入-nginx。 (如果您的叢集上未安裝 ingress-nginx,則不會受到影響。您可以執行 kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx 來檢查 ingress-nginx。
參考資料
受影響的元件
受影響的版本
- < v1.11.0
- v1.11.0 - 1.11.4
- v1.12.0
決議
如果您使用 Managed NGINX 輸入搭配 AKS 上的應用程式路由附加元件 ,則修補程式會推出至具有 AKS v2050316 版本的所有區域。 不需要採取任何動作。 您可以從 AKS 發行追蹤器檢查發行狀態。
如果您執行自己的 Kubernetes NGINX 輸入控制器,請檢閱 CVE 並藉由更新至最新的修補程式版本 (v1.11.5 和 v1.12.1) 來減輕風險。
AKS-2025-006 GitRepo 磁碟區意外存取本機存放庫
發佈日期:2025年3月13日
說明
Kubernetes 中發現了安全性弱點,可讓具有建立 Pod 許可權的使用者利用 gitRepo 磁碟區來存取屬於相同節點上其他 Pod 的本機 Git 存放庫。 此 CVE 只會影響 Kubernetes 叢集,這些叢集會利用樹狀結構中的 gitRepo 磁碟區,從相同節點內的其他 Pod 複製 Git 存放庫。 由於樹狀結構中的 gitRepo 磁碟區功能已被取代,且不會從 Kubernetes 上游接收安全性更新,因此任何仍在使用此功能的叢集仍然容易受到攻擊。
參考資料
受影響的元件
受影響的版本
- 所有 AKS 叢集版本
決議
由於樹狀內 gitRepo 磁碟區功能已棄用,因此 CVE 沒有可用的修正程式。
為確保只允許使用已允許的磁碟區類型,請指派 Azure 內建原則定義- 僅在強制模式下,Kubernetes Pod 才能對 AKS 叢集 (封鎖使用 gitRepo 磁碟區的部署) 叢集使用允許的磁碟區類型。 您可以在 這裏檢視允許的磁碟區類型。 如需如何在 AKS 叢集上啟用 Azure 原則的詳細步驟,請參閱 使用 Azure 原則保護您的 Azure Kubernetes Service (AKS) 叢集。
AKS-2025-005 Calico v3.26 使用者的重要安全性更新
發佈日期:2025年3月24日
說明
Calico 3.26 版存在多個安全性問題,目前已結束生命週期,不再收到安全性修正。 如果您在 AKS 叢集 1.29.x 版或更早版本上使用 Calico 3.26 版,您將不再收到 Calico 的安全性修補程式。
參考資料
受影響的元件
受影響的版本
- AKS 1.29 版和更早版本
決議
將 AKS 叢集版本升級至使用 Calico 3.28 版的 1.30 或更新版本
Windows 中 WinSock 的輔助函式驅動程式中的 AKS-2025-004 問題
發佈日期:2025年2月11日
說明
在 Windows 中 WinSock 的輔助函式驅動程式中發現了安全性問題。 此弱點可讓攻擊者利用網路通訊缺陷,可能會導致特權提升。
參考資料
受影響的元件
受影響的版本
- Windows 版本 17763.6775.250117
- Windows 版本 20348.3091.250117
- Windows 版本 25398.1369.250117
決議
將 Windows 節點映像版本升級為:
- Windows 版本 17763.6775.250214
- Windows 版本 20348.3091.250214
- Windows 版本 25398.1369.250214
- 或更新版本
AKS-2025-003 Windows 儲存空間中的權限提高
發佈日期:2025年2月11日
說明
Windows 記憶體中發現安全性問題,可讓具有低層級存取權的攻擊者利用系統缺陷並取得更高的許可權。 此弱點可能會導致執行任意程式代碼或存取敏感數據。
參考資料
受影響的元件
受影響的版本
- Windows 版本 17763.6775.250117
- Windows 版本 20348.3091.250117
- Windows 版本 25398.1369.250117
決議
將 Windows 節點映像版本升級為:
- Windows 版本 17763.6775.250214
- Windows 版本 20348.3091.250214
- Windows 版本 25398.1369.250214
- 或更新版本
AKS-2025-002 NTLM 雜湊揭露詐騙
發佈日期:2025年2月11日
說明
發現安全性問題會公開 Windows 使用者的 NTLM 哈希。 這種類型的弱點可能會導致傳遞哈希攻擊,而遠端攻擊者會擷取和稍後使用哈希來模擬使用者,而不需要純文本密碼。
參考資料
受影響的元件
受影響的版本
- Windows 版本 17763.6775.250117
- Windows 版本 20348.3091.250117
- Windows 版本 25398.1369.250117
決議
將 Windows 節點映像版本升級為:
- Windows 版本 17763.6775.250214
- Windows 版本 20348.3091.250214
- Windows 版本 25398.1369.250214
- 或更新版本
golang/crypto 中的 AKS-2025-001 ServerConfig.PublicKeyCallback 問題
發佈日期:2024年12月11日
說明
在 ServerConfig.PublicKeyCallback 回調函數中發現了一個安全問題,可能會導致授權繞過。 當應用程式和連結庫誤用 connection.serverAuthenticate 方法時,就會發生此弱點。 具體而言,SSH 通訊協定可讓客戶端在證明對對應私鑰的控制之前,詢問公鑰是否可接受。 此問題可能會導致基於攻擊者實際上無法控制的密鑰做出不正確的授權決策。
AKS 知悉這個漏洞。 不過,此 CVE 不適用於 kubernetes。 此弱點只會影響使用 PublicKeyCallback API 的使用者。 因為 golang 不會在 Kubernetes 設定中使用此 API,而且整個套件的唯一使用是在測試套件內,golang.org/x/crypto 並不易受攻擊。 即將推出的 Kubernetes 1.33 版會修補弱點。
參考資料
受影響的元件
受影響的版本
- AKS 1.32 版和更早版本
決議
修正程式將在 AKS 叢集版本 1.33 中可用
後續步驟
- 使用 CVE 狀態 來取得 CVE 風險緩解狀態的更新。
- 使用 AKS 發行備註取得有關最新節點映像的更新。
- 了解如何使用 升級 Azure Kubernetes Service (AKS) 節點映像 的方式來更新 AKS 節點映像。
- 了解如何使用自動升級節點映像自動升級節點映像。
- 瞭解如何透過升級 AKS 叢集來更新 Kubernetes 版本。
- 瞭解如何使用 AKS 修補程式和升級指引來升級最佳做法。
