Kubernetes社區公布了安全性漏洞CVE-2021-25742,攻擊者可以通過定製化的Snippets特性建立或修改叢集中的Ingress執行個體,從而擷取叢集中所有的Secret執行個體資訊。本文介紹該漏洞的影響和影響範圍,以及防範措施。
CVE-2021-25742漏洞被評估為高危漏洞,在CVSS的評分為7.6。
影響範圍
以下枚舉的ingress-nginx組件均在該漏洞影響範圍內:
- v1.0.0
- ≤v0.49.0
Kubernetes社區在以下版本的ingress-nginx組件中修複了該漏洞:
- v1.0.1
- v0.49.1
關於漏洞的詳細資料,請參見CVE-2021-25742。
漏洞影響
當叢集運行在多租戶情境下,如果存在非管理使用者擁有Ingress執行個體的建立和修改許可權,那麼該使用者可以通過定製化的Snippets特性擷取叢集所有Secret執行個體資訊,造成跨租戶的越權訪問和叢集維度敏感資訊泄露。
防範措施
執行以下命令,修改kube-system命名空間下的nginx-configuration。
kubectl edit configmap -nkube-system nginx-configuration在返回結果中設定 allow-snippet-annotations為false:
data:
allow-snippet-annotations: “false”