You need to enable JavaScript to run this app.
导航
Kubernetes 安全漏洞公告(CVE-2024-7646)
最近更新时间:2024.09.14 15:03:51首次发布时间:2024.09.14 15:03:51

Kubernetes 社区披露了 ingress-nginx 的安全漏洞 CVE-2024-7646。ingress-nginx 是 Kubernetes 的 Ingress 控制器,使用 Nginx 作为反向代理和负载均衡服务器。具有创建 Ingress 对象权限的参与者(在networking.k8s.ioextensions API 组中)可以绕过注释验证,在 Nginx 配置文件中注入恶意配置。攻击者可以利用此漏洞来获取 ingress-nginx 控制器的凭据。在默认配置中,该凭据可以访问集群中的所有 Secrets。

漏洞级别

CVE-2024-7646 漏洞被评估为高危漏洞,在 CVSS 的评分为 8.8

影响范围

Nginx Ingress Controller 在漏洞影响范围内:

  • v1.11.0 <= Nginx Ingress Controller < v1.11.2
  • Nginx Ingress Controller < v1.10.4

防范措施

容器服务(VKE)中,Nginx Ingress Controller 对应的控制器名称为 ingress-nginx-controller。VKE 后续将发布修复该漏洞的 ingress-nginx-controller 版本,请留意 ingress-nginx 组件发布记录

在升级 ingress-nginx-controller 前,可以通过以下方式缓解漏洞影响:

  • 在集群中安装准入控制组件,例如 KyvernoGatekeeper,并对 Ingress 对象的创建行为进行验证,阻断漏洞利用。
  • 收敛创建 Ingress 的权限,只给受信用户授权。

社区在 Nginx Ingress Controller v1.10.4 和 v1.11.2 版本上修复该漏洞,修复版本仅支持 v1.26 及以上的 Kubernetes 版本。因此若您的 VKE 集群 Kubernetes 版本低于 v1.26 时,请先 升级集群

相关链接