Kubernetes社區披露了安全性漏洞CVE-2025-0426。未認證的攻擊者可以向kubelet HTTP唯讀連接埠發送大量容器Checkpoint請求,導致磁碟空間迅速被佔滿,從而完成針對叢集節點的DoS拒絕服務的攻擊。
影響範圍
只有啟用了 kubelet唯讀HTTP連接埠和使用支援容器Checkpoint檢查點功能的容器運行時(如CRI-O v1.25.0+(enable_criu_support設定為true)或安裝了criu的containerd v2.0+)的叢集才會受到此漏洞影響。
ACK叢集節點運行時預設狀態下不支援Checkpoint介面,同時預設禁用kubelet唯讀非認證連接埠,因此不在該漏洞影響範圍內。
漏洞影響範圍如下:
kubelet v1.32.0 ~ v1.32.1
kubelet v1.31.0 ~ v1.31.5
kubelet v1.30.0 ~ v1.30.9
社區在下列版本中修複了該問題:
kubelet master
kubelet v1.32.2
kubelet v1.31.6
kubelet v1.30.10
kubelet v1.29.14
容器Checkpoint介面在kubelet 1.25到1.29版本作為Alpha特性預設關閉,不受影響。
漏洞排查
當kubelet HTTP唯讀連接埠服務側收到大量的/checkpoint介面的請求,或節點的/var/lib/kubelet/checkpoints 目錄(預設設定下)中出現大量的Checkpoints檢查點隱藏檔,表明可能有攻擊者試圖利用此漏洞進行拒絕服務的攻擊。
解決方案
預設情況下ACK叢集不在漏洞影響範圍內。如果您叢集的kubelet或運行時存在黑屏化的自訂配置,可以參見如下配置防範風險。
持續監控叢集節點的磁碟使用率,請參見磁碟監控。
關閉節點kubelet ContainerCheckpoint特性門控。
禁用kubelet唯讀非認證連接埠。