描述
CVSS 评分: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L - 低 (2.7)
Kubernetes 的 NodeRestriction 准入控制器中存在一个漏洞,允许节点绕过动态资源分配的授权检查。当启用 DynamicResourceAllocation 功能门控时,控制器在 Pod 状态更新期间会正确验证资源声明状态,但在 Pod 创建期间未能执行等效验证。这使得受感染的节点能够创建访问未经授权的动态资源的 Mirror Pod,可能导致权限提升。
实际上,kubelet 中的健全性检查会阻止这些 Mirror Pod 在创建后启动。即使它们能够启动,攻击者可能已经获得了对节点的完全访问权限,并且对于大多数动态资源,也无法获得额外的权限。
我是否受影响? 所有同时使用 DynamicResourceAllocation 功能(默认禁用)和静态 Pod 的集群都可能受到此漏洞影响。
受影响版本
- kube-apiserver: v1.32.0 - v1.32.5
- kube-apiserver: v1.33.0 - 1.33.1
如何缓解此漏洞? 可以通过以下方式缓解此问题: 如果您没有主动使用 DynamicResourceAllocation 功能,最安全且最简单的操作是在 API 服务器上关闭此功能。
已修复版本
- kube-apiserver >= v1.32.6
- kube-apiserver >= v1.33.2
检测 所有使用 DynamicResourceAllocation 功能和静态 Pod 的集群都可能受到影响。运行以下命令查看该功能是否正在使用:
|
|
以及
|
|
如果您发现此漏洞已被利用的证据,请联系 security@kubernetes.io。
致谢 此漏洞由 Amit Schendel (@amitschendel) 来自 ARMO 报告。
该问题由以下人员修复和协调:
- Patrick Ohly (@pohly)
- Jordan Liggitt (@liggitt)
- Balaji (@SaranBalaji90)
- Rita Zhang (@ritazh)
- Marko Mudrinić (@xmudrii)
(以下为问题跟踪活动记录,已翻译)
活动
k8s-ci-robot 于 2025年6月6日添加了 lifecycle/frozen、triage/accepted、needs-sig 标签。
ritazh 于 2025年6月19日将标题从 [-][placeholder] for release[/-] 更改为 [+]CVE-2025-4563: Nodes can bypass dynamic resource allocation authorization checks[/+]。
ritazh 评论于 2025年6月19日
更多操作:
/area security
/kind bug
/committee security-response
/label official-cve-feed
k8s-ci-robot 于 2025年6月19日添加了 area/security、kind/bug、committee/security-response、official-cve-feed 标签,并移除了 needs-sig 标签。
ritazh 评论于 2025年6月19日(由 ritazh 编辑)
修复于
- #131844
- #131875
- #131876
ritazh 于 2025年6月19日关闭了此问题,标记为已完成。
GoVulnBot 于 2025年6月24日提及此事:x/vulndb: potential Go vuln in k8s.io/kubernetes: GHSA-hj2p-8wj8-pfq4 golang/vulndb#3774
archups 于 2025年7月8日提及此事:Add k8s patch releases for 1.33/1.32/1.31/1.30 kubermatic/kubermatic#14783
mtardy 于 2025年10月11日提及此事:Official CVE feed: add OSV schema JSON feed sig-security#169