You need to enable JavaScript to run this app.
导航
Ingress-nginx 插件安全漏洞公告(CVE-2021-25746)
最近更新时间:2022.06.08 18:03:54首次发布时间:2022.06.08 18:03:54

近日 Kubernetes Ingress-Nginx 社区披露了 Nginx-Ingress 漏洞 CVE-2021-25746。用户有权限可以在创建/更新 Ingress 时,利用.metadata.annotations字段,获取到 Ingress-Controller 使用的密钥凭证, 从而进一步获取集群中所有 Namespaces 的 Secrets。

漏洞级别

CVE-2021-25746 漏洞被评估为高危漏洞,在 CVSS 的评分为 7.6

影响范围

低于 v1.2.0 版本的 Ingress-Nginx 组件均在漏洞影响范围内。
Kubernetes 社区在以下版本的 Ingress-Nginx 中修复了该漏洞:

  • v1.2.0-beta.0
  • v1.2.0
  • v1.2.1

漏洞影响

具有 Ingress 实例创建或修改权限的攻击者,在创建 Ingress 实例时,通过在该 Ingress 实例中构造定制化的metadata.annotations字段获取 Nginx Ingress Controller 访问集群 API Server 的凭证,从而进一步越权获取集群中的 Secret 实例等敏感信息。

防范措施

通过实施准入策略,将metadata.annotations的值限制在已知的安全字符中(参考社区最新 规则,或采用 annotation-value-word-blocklist 中的建议值)。

容器服务近期将提供修复版本,请关注容器服务产品公告。

相关链接