表1 漏洞信息 漏洞名称 CVE-ID 漏洞级别 披露/发现时间 runC漏洞 CVE-2024-21626 高 2024-02-01 漏洞利用条件 UCS服务的正常使用场景不受此漏洞影响,仅当攻击者具备以下条件之一时,可利用该漏洞: 攻击者具有集群工作负载的创建或更新权限。
原子化升级 只读根分区可通过升级进行系统漏洞修复。 原子化升级采用双区乒乓升级的方案:将更新的镜像下载到另一个分区,修改grub引导项来切换分区启动。 原子化升级操作在容器场景下需要os-operator、os-proxy和os-agent组件配合完成。
表1 漏洞信息 漏洞名称 CVE-ID 漏洞级别 披露/发现时间 HTTP/2 协议拒绝服务漏洞 CVE-2023-44487 高 2023-10-10 漏洞影响 此漏洞为拒绝服务类型漏洞,不影响数据安全,但恶意攻击者可能通过此漏洞造成服务器拒绝服务,导致服务器宕机。
漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2025-23266 严重 2025-07-17 数据篡改、拒绝服务 CVE-2025-23267 高 2025-07-17 漏洞影响 在NVIDIA Container Toolkit
UCS服务资源权限(IAM授权) UCS集群权限/容器舰队权限是基于IAM系统策略和自定义策略的授权,可以通过用户组功能实现IAM用户的授权。 集群权限/容器舰队权限仅针对与集群/容器舰队相关功能的资源(如集群管理、舰队管理、插件管理、策略中心、配置管理、流量分发、容器智能分析等)
漏洞公告 HTTP/2协议拒绝服务漏洞公告(CVE-2023-4487) runC漏洞对UCS服务的影响说明(CVE-2024-21626) NVIDIA Container Toolkit容器逃逸漏洞公告(CVE-2025-23266、CVE-2025-23267)
产品优势 华为云UCS的优势 随着云原生应用深入企业各个业务场景,跨云跨地域统一协同治理,保障一致应用体验等新的需求日渐突出,华为云UCS构建无处不在的云原生服务,加速各行各业云原生升级。 一站式多云统一体验 支持华为公有云(中心Region、IEC、CloudPond)、客户自建
减少系统漏洞,降低系统遭受攻击风险。
在PaaS、SaaS场景下,华为云也会基于控制原则承担所提供服务或组件的安全配置、漏洞修复、安全防护和入侵检测等职责。 客户:无论在任何云服务类别下,客户数据资产的所有权和控制权都不会转移。
