Kubernetes 社区披露了 ingress-nginx 的安全漏洞 CVE-2024-7646。ingress-nginx 是 Kubernetes 的 Ingress 控制器,使用 Nginx 作为反向代理和负载均衡服务器。具有创建 Ingress 对象权限的参与者(在networking.k8s.io
或extensions
API 组中)可以绕过注释验证,在 Nginx 配置文件中注入恶意配置。攻击者可以利用此漏洞来获取 ingress-nginx 控制器的凭据。在默认配置中,该凭据可以访问集群中的所有 Secrets。
CVE-2024-7646 漏洞被评估为高危漏洞,在 CVSS 的评分为 8.8。
Nginx Ingress Controller 在漏洞影响范围内:
容器服务(VKE)中,Nginx Ingress Controller 对应的控制器名称为 ingress-nginx-controller。VKE 后续将发布修复该漏洞的 ingress-nginx-controller 版本,请留意 ingress-nginx 组件发布记录。
在升级 ingress-nginx-controller 前,可以通过以下方式缓解漏洞影响:
社区在 Nginx Ingress Controller v1.10.4 和 v1.11.2 版本上修复该漏洞,修复版本仅支持 v1.26 及以上的 Kubernetes 版本。因此若您的 VKE 集群 Kubernetes 版本低于 v1.26 时,请先 升级集群。