CVE-2025-0426

Nome do Software Vulnerável e Versões Afetadas Versões do Kubernetes de 1.25 até 1.32.1 Versões do Kubernetes de 1.30.0 até 1.30.9 Versões do Kubernetes de 1.31.0 até 1.31.5 Versões do Kubernetes de 1.32.0 até 1.32.1

Descrição Um problema de segurança foi descoberto no Kubernetes no qual um grande número de solicitações de checkpoint de contêiner feitas ao endpoint HTTP somente leitura não autenticado do kubelet pode causar uma Negação de Serviço no Nó (DoS) ao preencher o disco do Nó. Isso pode ser realizado enviando um grande número de solicitações para a porta HTTP somente leitura, que é habilitada por padrão na porta 10255, para criar checkpoints de contêiner, resultando na criação de múltiplos arquivos de checkpoint em /var/lib/kubelet/checkpoints. No entanto, para que o problema seja explorável, vários fatores devem coincidir, incluindo a porta somente leitura estar habilitada, o runtime de contêiner suportar checkpoint de contêiner e a feature gate ContainerCheckpoint estar habilitada no kubeapi.

Recomendações Para as versões de 1.25 até 1.32.1, considere desabilitar a porta HTTP somente leitura ou restringir o acesso a ela até que um patch esteja disponível. Para as versões de 1.30.0 até 1.30.9, desabilite a feature gate ContainerCheckpoint no kubeapi para prevenir a exploração. Para as versões de 1.31.0 até 1.31.5, atualize o runtime de contêiner para uma versão que não suporte checkpoint de contêiner ou desabilite o parâmetro enable criu support. Para as versões de 1.32.0 até 1.32.1, restrinja o acesso ao diretório /var/lib/kubelet/checkpoints para prevenir o preenchimento do disco. Como solução temporária, considere desabilitar a funcionalidade de checkpoint de contêiner no runtime de contêiner até que um patch esteja disponível.