Kubernetes’teki kritik bir güvenlik açığı (CVE-2025-4563), düğümlerin dinamik kaynak tahsisi için yetkilendirme kontrollerini atlamasına izin vererek etkilenen kümelerde ayrıcalık artışını mümkün kılar.
Kusur, DynamicResourceallocation özelliği etkinleştirildiğinde, POD oluşturma sırasında kaynak talep durumlarını doğrulamayan noderistriction giriş denetleyicisinde bulunur.
Bu gözetim, uzlaşmış düğümlerin kısıtlı kaynaklara erişen yetkisiz ayna kapsülleri oluşturmasına izin verir, ancak sömürü belirli konfigürasyonlar gerektirir: savunmasız özellik (varsayılan olarak devre dışı) statik bölme kullanımı ile birlikte etkin olmalıdır.
.png
)
Teknik etki ve ciddiyet
GitHub raporuna göre, güvenlik açığı Kube-Apiserver sürümlerini 1.32.0-1.32.5 ve 1.33.0-1.33.1 sürümlerini etkiler ve CVSS skoru 2.7 (düşük şiddet) ile etkiler.
| Bağlanmak | Detaylar |
| CVE kimliği | CVE-2025-4563 |
| Etkilenen sürümler | Apiserver’da: V1.32.0-V1.32.5, v1.33.0-V1.33.1 |
| CVSS Puanı | 2.7 (düşük) |
| Birincil risk | Yetkisiz dinamik kaynak erişimi yoluyla ayrıcalık artışı |
Saldırı vektörü ağ tabanlı olsa da, sömürü yüksek ayrıcalıklar gerektirir ve gizlilik veya bütünlükten ödün vermeden düşük kullanılabilirlik etkisine neden olur. Özellikle:
- Ayrıcalık artışı: Uzaklaştırılmış düğümler, yetkisiz kaynaklara erişmek için ayna kapsülleri oluşturabilir.
- Sınırlı maruziyet: Yalnızca hem DynamicResourceallocation hem de Statik Pods kullanan kümeler savunmasızdır.
- Varsayılan güvenlik: DynamicResourceallocation özelliği varsayılan olarak Kubernetes’te devre dışı bırakılır.
Azaltma stratejileri
Anında eylemler şunları içerir:
- Kubernetes’i güncelle yamalı versiyonlara (v1.32.6 veya v1.33.2).
- DynamicResourceAllasyonu Devre Dışı Bırak Hemen yama yapamıyorsa API sunucusu parametreleri aracılığıyla.
- Denetim Kümesi Yapılandırmaları kullanma:
kubectl get ResourceClaim --all-namespaceskubectl get pods --all-namespaces -o json | jq -r '.items[] | select(.metadata.annotations["kubernetes.io/config.mirror"] == "true") | "\(.metadata.namespace)/\(.metadata.name)"'Savunmasız kurulumları tanımlamak için.
Azure Kubernetes Service (AKS) gibi bulut sağlayıcılar, savunmasız özelliği etkinleştirmedikleri için etkilenmez.
Kullanıcılar, düşük şiddet derecesine rağmen potansiyel sömürüyü önlemek için özellik kapısının yamaya veya devre dışı bırakılmasına öncelik vermelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin