|
本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。 |
安全公告和漏洞
NeuVector 致力于向社区通报安全问题。下表列出了已发布的安全公告和漏洞(常见漏洞和暴露)以解决的问题。
| ID | 说明 | 日期 | 分辨率 |
|---|---|---|---|
在修补版本中,新的 NeuVector 部署默认启用 TLS 验证。对于滚动升级,NeuVector 不会自动更改此设置以避免中断。 |
2025 年 12 月 12 日 |
||
对于基于 Kubernetes 的环境中的 NeuVector 部署,默认管理员用户的启动密码现在是随机生成并存储在 Kubernetes secret 中。默认管理员必须从 secret 中检索启动密码,并在第一次成功的 UI 登录后更改它。 |
2025 年 8 月 25 日 |
||
NeuVector 现在使用加密安全的盐与 PBKDF2 算法,而不是简单的哈希来保护用户密码。在从早期版本进行滚动升级期间,NeuVector 在每个用户下次成功登录后重新计算并存储新的密码哈希。 |
2025 年 8 月 25 日 |
||
NeuVector 现在默认从日志和调试输出中删除包含 |
2025 年 8 月 25 日 |
||
根据日志配置和凭证权限,敏感信息可能会记录在管理容器中。 |
2025 年 7 月 9 日 |
||
在 .NET 中,恶意的 X.509 证书或链可能导致处理器使用过高,从而导致服务拒绝。此 CVE 被标记为受影响的 .NET 库检测问题。 |
2024 年 7 月 9 日 |
||
NGINX |
2024 年 8 月 14 日 |
||
在 GNU C 库 2.29 之前, |
2025 年 1 月 15 日 |
不适用.在 v5.4.2 中标记为 误报。 |
|
某些 Docker Engine 版本中的安全漏洞可能允许攻击者绕过 授权插件 (AuthZ)。被利用的可能性较低。 |
2024 年 11 月 16 日 |
||
|
2024 年 11 月 16 日 |
OpenID Connect 易受中间人攻击 (MITM) 的影响。
-
CVE ID: CVE-2025-66001 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
-
CVSS 分数:8.8
影响
NeuVector 支持使用 OpenID Connect 进行身份验证。默认情况下,不强制执行 TLS 验证,该验证用于确保远程服务器的真实性和完整性。这可能会使系统暴露于中间人(MITM)攻击。
从版本 5.4.0 开始,NeuVector 支持 TLS 验证,适用于:
-
注册表连接
-
身份验证服务器连接(SAML、LDAP 和 OIDC)
-
Webhook 连接
默认情况下,TLS 验证保持禁用。该设置在 NeuVector UI 的 设置 → 配置 下可用。
在修补版本中,新的 NeuVector 部署默认启用 TLS 验证。滚动升级不会修改现有配置,以防止服务中断。
|
当启用 TLS 验证时,适用于:
|
NeuVector 正在其二进制文件中嵌入加密材料。
-
CVE ID:CVE-2025-54471
-
CVSS 分数:6.5 – AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
影响
NeuVector 之前使用嵌入源代码中的硬编码加密密钥。在编译过程中,此值被替换为用于加密敏感配置字段的静态密钥。
在修补版本中,NeuVector 使用 Kubernetes Secret neuvector-store-secret(在 neuvector 名称空间中)生成安全的动态加密密钥。这消除了对静态密钥的依赖,并通过将密钥存储在 Kubernetes 管理的 Secret 中来提高安全性。
在滚动升级或从持久存储恢复时,NeuVector 控制器检查加密的配置字段。如果字段使用默认固定密钥加密,则会使用新的动态密钥进行解密和重新加密。
如果控制器没有访问 Kubernetes Secret 的 RBAC 权限,则会记录:
Required Kubernetes RBAC for secrets are not found
并退出。
设备加密密钥每三个月轮换一次。有关详细信息,请参见: 在配置中轮换敏感字段。
问题与支持
-
在 NeuVector GitHub 储存库 中打开问题。
-
参考:
遥测发送器易受中间人攻击和拒绝服务攻击的影响。
-
CVE ID:CVE-2025-54470
-
CVSS 分数:8.6 – AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H
问题与支持
-
在 NeuVector GitHub 储存库 中打开问题。
-
参考:
NeuVector Manager 容器日志中的敏感信息泄露
CVEs:*CVE-2025-46808
*CVSS评分:*6.8 — CVSS v3.1向量
*CWE: CWE-532:将敏感信息插入日志文件
影响
NeuVector版本高达并包括`5.4.4`的漏洞可能会在NeuVector Manager容器日志中泄露敏感信息。以下字段可能出现在日志中:
| 字段 | 字段描述 | 出现的地方 | 重现 | 环境 |
|---|---|---|---|---|
|
用于单点登录的Rancher会话令牌 |
请求头 |
通过Rancher UI登录并访问NeuVector SSO |
带有NeuVector SSO的Rancher |
|
GitHub或Azure DevOps令牌 |
请求体 |
在 配置 > 设置 下提交远程储存库配置 |
NeuVector |
|
NeuVector 用户会话令牌 |
响应体 |
通过 NeuVector API 发送 GET 请求: |
NeuVector |
|
Rekor 公钥、根证书、签名证书时间戳 (SCT) 公钥在私有信任根中 |
请求体 |
从 Sigstore 页面创建或更新私有信任根 |
NeuVector |
|
验证者的公钥 |
请求体 |
在 Sigstore 页面创建或更新验证者 |
NeuVector |
|
与 Rancher Manager 和 远程储存库配置禁用的单点登录集成的 NeuVector 安装不受影响。 |
在补丁版本中,X-R-Sess 部分被屏蔽。其他敏感字段 (personal_access_token, token, rekor_public_key, root_cert, sct_public_key, public_key) 从日志中去除。
|
有关更多信息,请参见 不安全的凭据(MITRE ATT&CK T1552)。
问题与支持
-
在 NeuVector GitHub 储存库 中打开问题。
-
参考: