AKS应用路由插件安全问题分析与应对策略

AKS应用路由插件安全问题分析与应对策略

AKS Azure Kubernetes Service 项目地址: https://gitcode.com/gh_mirrors/ak/AKS

问题背景

近期Kubernetes社区披露了多个影响nginx ingress控制器的安全问题，其中CVE-2025-1974被评定为严重级别(CVSS 9.8)。这些问题主要影响nginx ingress控制器1.11.4及以下版本，可能允许攻击者通过特定方式实现远程代码执行。

问题影响范围分析

在Azure Kubernetes Service(AKS)环境中，用户通常通过两种方式部署Ingress控制器：

1. 自行部署和管理开源nginx ingress控制器
2. 使用AKS提供的应用路由(Application Routing)插件

对于第一种情况，如果用户自行部署的是受影响版本(1.11.4及以下)的nginx ingress控制器，则需要立即采取升级措施。最新修复版本为1.11.5和1.12.1。

AKS应用路由插件的安全性

AKS的应用路由插件基于F5的nginx ingress控制器实现，而非直接使用社区版的ingress-nginx项目。虽然版本号与社区版保持同步，但底层实现存在差异：

• 镜像名称：mcr.microsoft.com/oss/kubernetes/ingress/nginx-ingress-controller
• 当前版本：v1.11.2

经过微软安全团队确认，AKS应用路由插件不受CVE-2025-1974影响。这是因为F5的实现方式与社区版存在架构差异，不包含该问题的触发条件。

应对建议

对于不同部署方式的用户，建议采取以下措施：

自行部署nginx ingress的用户

1. 立即检查当前部署的ingress控制器版本
2. 将受影响的版本升级至1.11.5或1.12.1
3. 审查ingress配置，确保没有暴露不必要的权限

使用AKS应用路由插件的用户

1. 无需针对CVE-2025-1974采取特别措施
2. 关注AKS的自动更新进度
3. 定期检查AKS集群的安全公告

其他相关问题

除CVE-2025-1974外，近期还披露了多个中高危问题，包括：

• CVE-2025-1098 (高危)
• CVE-2025-1097 (高危)
• CVE-2025-24514 (高危)
• CVE-2025-24513 (中危)

对于这些问题，AKS团队正在进行全球区域的滚动更新，预计将在数日内完成全部部署。用户可以通过AKS发布状态页面了解更新进度。

最佳实践

无论采用哪种部署方式，都建议用户：

1. 启用AKS的安全更新自动推送功能
2. 定期审查集群中的网络策略和ingress规则
3. 限制ingress控制器的权限范围
4. 监控集群中的异常活动

通过以上措施，可以最大程度降低安全风险，保障Kubernetes集群的安全运行。

AKS Azure Kubernetes Service 项目地址: https://gitcode.com/gh_mirrors/ak/AKS