RKE2项目修复CVE-2025-1974漏洞的技术分析

RKE2项目团队近期发布了v1.29.15-rc2+rke2r1版本，该版本主要针对CVE-2025-1974漏洞进行了修复。作为Kubernetes的轻量级发行版，RKE2始终将安全性作为核心关注点。

漏洞背景

CVE-2025-1974是一个影响nginx-ingress-controller组件的安全漏洞。该漏洞可能允许攻击者通过特定的注解配置执行恶意代码，属于权限提升类漏洞。在Kubernetes集群中，Ingress控制器作为流量入口，其安全性直接影响整个集群的安全状况。

修复版本详情

在修复版本v1.29.15-rc2+rke2r1中，RKE2团队将nginx-ingress-controller组件升级到了v1.12.1-hardened1版本。该版本包含了针对CVE-2025-1974的完整修复方案，同时保持了与上游Kubernetes v1.29版本的兼容性。

验证修复版本时，可以通过以下命令确认组件版本：

rke2 -v
kubectl get nodes -o yaml | grep 'nginx-ingress-controller' -A1

技术影响分析

该漏洞主要影响以下场景：

1. 集群中启用了nginx-ingress-controller
2. 在Ingress资源中使用了特定的注解配置
3. 攻击者能够创建或修改Ingress资源

修复后的版本通过限制注解的处理逻辑，防止了潜在的代码注入可能性。对于生产环境，建议所有RKE2用户尽快升级到包含修复的版本。

升级建议

对于正在运行RKE2的用户，建议按照以下步骤进行升级：

1. 备份关键集群数据和配置
2. 测试环境中验证新版本兼容性
3. 生产环境采用滚动升级策略
4. 升级后验证所有Ingress功能正常

特别需要注意的是，如果您的应用依赖allow-snippet-annotations: "True"配置，可能需要检查相关功能在升级后的兼容性情况。

总结

RKE2团队快速响应安全漏洞，为用户提供了及时的安全更新。作为集群管理员，保持组件版本更新是保障集群安全的重要措施。建议用户关注RKE2的安全公告，定期进行版本升级，以获取最新的安全修复和功能改进。