つみかさね

CVE-2026-13325

High(8.5)

KubeVirtのマイグレーションプロキシ認証欠如CVE-2026-13325:影響範囲と対応方法

公開日: 2026-07-08データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
KubeVirtKubeVirt projectdisableTLS: true 設定時

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1kubectl get kubevirtコマンドでdisableTLS設定を確認する
  2. 2disableTLS: trueが設定されている場合は設定を削除してTLSを有効に戻す
  3. 3KubeVirtの最新バージョンへのアップデートを確認する
  4. 4マルチテナント環境ではNetworkPolicyによるマイグレーションポートの制限を検討する

影響対象

KubeVirtを使用するKubernetesクラスター運用者

補足

  • -migrations.networkの設定はリスナーバインドアドレスを変更しないため、この問題の回避策にはなりません
CVEKubeVirtKubernetes認証欠如仮想化クラウド

30秒で判断

対応すべき人:

  • KubeVirtを使用していてspec.configuration.migrations.disableTLS: trueを設定している
  • KubeVirtクラスターでテナント分離が重要な環境

対応不要な人:

  • KubeVirtを使用していない
  • disableTLSを設定していない(デフォルトはTLS有効)
  • シングルテナント環境でクラスター内のすべてのPodが信頼できる

確認コマンド:

# disableTLS設定の確認
kubectl get kubevirt -n kubevirt -o jsonpath='{.spec.configuration.migrations.disableTLS}'

概要

KubeVirtのspec.configuration.migrations.disableTLStrueに設定すると、ライブマイグレーション時にvirt-handlerがすべてのネットワークインターフェース(0.0.0.0/::)のランダムなポートで、認証・ピアホワイトリスト・ハンドシェイクトークンなしでTCPリスナーをバインドします。

このリスナーはマイグレーション先のvirt-launcherのlibvirt制御ソケット(virtqemud)に直接プロキシします。クラスターネットワーク上で動作する任意のPodからこのポートに接続し、フィルタリングされていないlibvirt RPCコマンドを別テナントのVMに対して送信できます。

攻撃が成功した場合、他テナントのVMのメモリや設定の読み取り、QMP経由でのVM状態変更、VMの破壊などが可能になります。

migrations.networkで専用マイグレーションネットワークを設定しても、リスナーのバインドアドレスは変わらず0.0.0.0のままとなるため、対策にはなりません。


CVSSベクトル

項目
スコア8.5
深刻度High
CWECWE-306(認証機能の欠如)
攻撃元区分ネットワーク (AV:N)
攻撃条件の複雑さ低 (AC:L)
必要な特権レベル低 (PR:L) ※クラスターにPodを起動できる権限
ユーザー関与不要 (UI:N)
スコープ変更あり (S:C)
機密性への影響高 (C:H)
完全性への影響高 (I:H)
可用性への影響高 (A:H)

影響を受けるソフトウェア

製品影響する条件
KubeVirtspec.configuration.migrations.disableTLS: trueを設定している場合

修正バージョンと回避策

回避策(即時):

  1. disableTLS: true設定を削除し、TLSを有効に戻す
  2. NetworkPolicyでマイグレーションポート(ランダムポート)へのアクセスを制限する(完全な防御にはならないが軽減策として有効)

パッチ適用:

  • KubeVirtの最新バージョンへのアップデートを確認してください

関連リンク


データソース: NVD (NIST), Red Hat Security
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。