一个被指定为 CVE-2025-49825 的严重漏洞,允许攻击者在 Teleport(一种广泛使用的安全访问平台)中远程绕过身份验证控制。
该漏洞影响多个版本的 Teleport 基础设施,促使各类部署环境必须立即进行安全更新。
Cloud 客户的控制平面版本已接收自动更新,而自行管理代理的组织必须立即采取行动,以防潜在的安全漏洞被利用。
严重的身份验证绕过漏洞
这一严重的安全漏洞,编号为 CVE-2025-49825,构成了对全球 Teleport 部署环境的重大威胁。
安全研究人员发现,该漏洞允许恶意行为者远程规避身份验证机制,可能获得对敏感基础设施和系统的未授权访问。
Teleport 已针对多个主要版本发布修复版本,包括 17.5.2、16.5.12、15.5.3、14.4.1、13.4.27 和 12.4.35。
对于 Teleport Cloud 客户,控制平面基础设施已自动接收安全更新。
使用 Managed Updates v2 的组织已于 2025 年 6 月 9 日的指定维护窗口期间,自动获得代理节点更新。
然而,未启用自动管理的环境需要立即手动干预,以实现对漏洞的全面修复。
代理更新
各组织必须优先更新其基础设施中运行的所有 Teleport 代理节点,以消除安全风险。
最有效的方法是全面接入 Managed Updates v2,它提供自动补丁管理能力。
系统管理员可使用专门针对不同版本范围的 tctl inventory 命令识别易受攻击的代理节点。
识别完成后,必须使用传统的软件包管理器(如 apt 或 yum)将代理节点升级到与集群版本匹配的最新修复版本。
成功升级后,管理员应执行以下命令,将所有代理节点注册为托管更新:
sudo teleport-update enable该命令会将管理方式从传统软件包管理器切换为托管更新方式。
在应对漏洞的过程中,组织可能会遇到已被锁定的代理节点。为保护系统,易受攻击的代理节点会被自动锁定,需更新后才能移除锁定。
可使用以下命令暂时抑制漏洞横幅提示,以改善用户体验,抑制时间为 48 小时:
tctl alerts ack --ttl 48hKubernetes 环境需要特别注意,代理节点应使用 teleport-kube-agent 更新器,而非标准的 teleport-update 机制。该更新器可兼容 Managed Updates V1 和 V2 系统。
当 Kubernetes 代理通过 Teleport 的 ssh_service 提供 SSH 访问时,若未打补丁,仍然处于易受攻击状态,这凸显出在所有部署场景下立即更新的紧迫性。
发表评论
您还未登录,请先登录。
登录