前言
在云原生时代,企业越来越多地将 MySQL、Redis、MongoDB、Kafka 等数据库和中间件部署在 Kubernetes 上。随之而来的,是日益严峻的安全挑战:你部署的数据库版本是否存在已知漏洞?哪些 CVE 会影响当前集群?如何及时获取修复建议?
过去,即使只针对少数几款数据库,运维和平台工程师也往往需要手动查阅 NVD、各厂商安全公告,再逐一对照集群中的数据库版本,费时费力且容易遗漏。如今建立在KubeBlocks以及KubeBlocks Enterprise平台上的数据库引擎往往多达数十款,且每款引擎都有多个版本,再依赖手动处理已然不现实。基于此,我们为大家介绍 KubeBlocks Addon 漏洞数据库同步功能------实现数据库安全漏洞的发现与跟踪。
功能介绍
KubeBlocks Addon 漏洞同步功能主要由两部分组成:
漏洞数据库同步
Addon Vulnerability Database 是面向 KubeBlocks Addon 的漏洞数据库项目。它以 [CVEProject/cvelistV5](++https://github.com/CVEProject/cvelistV5++ ) 和 [NVD(美国国家漏洞数据库)](++https://nvd.nist.gov/++ ) 为权威数据源,每天定时从两处同步并整合最新 CVE 数据,并将 CVE 数据转换为标准的 [OSV(Open Source Vulnerability)](++https://ossf.github.io/osv-schema/++) 格式,方便进行处理。覆盖 KubeBlocks-Addons 和 企业版Addons 中的全部开源数据库组件。
覆盖范围
已支持的数据库与中间件包括:
-
关系型数据库:MySQL、PostgreSQL、TiDB
-
NoSQL:MongoDB、Redis
-
消息队列:Kafka、RabbitMQ、RocketMQ
-
其他组件:ZooKeeper、Etcd、ClickHouse、InfluxDB、Qdrant、Elasticsearch 等
不包含: 操作系统漏洞(如 Debian、RedHat)、非数据库类软件包,以及无 CPE 信息的组件。
漏洞集群扫描
漏洞集群扫描功能 定时扫描 ApeCloud 管理平台集群中的数据库实例,关联某个CVE漏洞与影响的集群实例,关联某个运行的实例与影响其的所有CVE漏洞。
在管理平台中的应用
漏洞数据同步与扫描完成后,会在 ApeCloud 管理平台 的 安全漏洞中心 集中展示。
具体包括:
-
按数据库引擎聚合:MySQL、PostgreSQL、Redis 等各自独立展示,便于按业务使用的组件筛选,并按照漏洞的严重程度进行排序
-
展示 CVE 详情:包括漏洞描述、影响版本范围、CVSS 评分、修复版本及参考链接
-
与集群版本关联:结合当前集群中实际运行的数据库版本,帮助判断是否存在受影响实例
-
提供修复建议:明确「引入版本」与「修复版本」,指导升级路径
-
一站式升级:对于部分引擎,可以联动ApeCloud 管理平台中的大/小版本升级功能,实现一键升级。
这样一来,平台运维人员可以在一个界面完成「发现 → 评估 → 决策」的闭环,无需再在多个外部站点间来回切换。
实现简述
数据来源与格式
-
数据源:以 CVEProject/cvelistV5 仓库拉取 的CVE数据为基础数据源,并结合NVD中较为完善的CVE数据,进行数据整合。
-
输出格式:OSV Schema,业界通用的开源漏洞描述格式,便于下游系统解析与集成
匹配逻辑
通过 CPE(Common Platform Enumeration)信息进行匹配:
-
配置每个 Addon 的
cpe_vendor、cpe_product及可选的alias -
扫描 CVE 列表,筛选出与 Addon 相关的漏洞
示例
以 ZooKeeper 的 CVE-2025-58457 为例,转化后的OSV如下:
json
{
"affected": [
{
"ranges": [
{
"database_specific": {
"source": "nvd"
},
"events": [
{
"introduced": "3.9.0"
},
{
"fixed": "3.9.4"
}
],
"type": "SEMVER"
}
]
}
],
"database_specific": {
"cna_assigner": "apache",
"cwe_ids": [
"CWE-280"
],
"engine": "zookeeper",
"osv_generated_from": "https://github.com/CVEProject/cvelistV5.git",
"product": "zookeeper"
},
"details": "Improper permission check in ZooKeeper AdminServer lets authorized clients to run snapshot and restore command with insufficient permissions.\n\nThis issue affects Apache ZooKeeper: from 3.9.0 before 3.9.4.\n\nUsers are recommended to upgrade to version 3.9.4, which fixes the issue.\n\nThe issue can be mitigated by disabling both commands (via admin.snapshot.enabled and admin.restore.enabled), disabling the whole AdminServer interface (via admin.enableServer), or ensuring that the root ACL does not provide open permissions. (Note that ZooKeeper ACLs are not recursive, so this does not impact operations on child nodes besides notifications from recursive watches.)",
"id": "CVE-2025-58457",
"modified": "2025-11-04T21:13:42.037Z",
"published": "2025-09-24T09:29:35.824Z",
"references": [
{
"type": "WEB",
"url": "http://www.openwall.com/lists/oss-security/2025/09/24/10"
},
{
"type": "PACKAGE",
"url": "https://github.com/CVEProject/cvelistV5.git"
},
{
"type": "ADVISORY",
"url": "https://lists.apache.org/thread/r5yol0kkhx2fzw22pxk1ozwm3oc6yxrx"
},
{
"type": "ADVISORY",
"url": "https://nvd.nist.gov/vuln/detail/CVE-2025-58457"
},
{
"type": "WEB",
"url": "https://repo.maven.apache.org/maven2"
}
],
"schema_version": "1.7.3",
"severity": [
{
"score": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N",
"type": "CVSS_V3"
}
],
"summary": "Apache ZooKeeper: Insufficient Permission Check in AdminServer Snapshot/Restore Commands"
}其中关键信息包括:
-
id:CVE-2025-58457
-
summary:Apache ZooKeeper AdminServer 快照/恢复命令权限检查不足
-
affected:影响 3.9.0 至 3.9.4 之前的版本,修复版本为 3.9.4
-
severity:CVSS 3.1 向量评分
-
references:NVD、Apache 安全公告等链接
这些结构化信息可直接被管理平台消费,用于展示和告警。
对平台与用户的价值
| 维度 | 价值 |
|---|---|
| 时效性 | 定期从权威源同步,减少人工跟踪延迟 |
| 准确性 | 基于 CPE 的精确匹配,避免误报与漏报 |
| 可操作性 | 明确影响版本与修复版本,便于制定升级计划 |
| 标准化 | OSV 格式便于与安全扫描、合规审计等系统集成 |
对于使用 KubeBlocks 管理多数据库集群的企业而言,这意味着:安全漏洞的可见性与可管理性显著提升,有助于满足合规要求并降低安全风险。
总结
数据库安全是云原生数据基础设施不可忽视的一环。Addon Vulnerability Database 通过自动化同步 CVE 数据、转换为 OSV 格式,并与 ApeCloud 管理平台的安全漏洞管理打通,让用户在统一界面即可掌握各数据库组件的漏洞态势,并据此制定升级与加固策略。
参考资料
KubeBlocks 网站:https://kubeblocks.io/
KubeBlocks Addons:https://github.com/apecloud/kubeblocks-addons/
KubeBlocks 文档:https://kubeblocks.io/docs/