Kubernetes社区公布了安全漏洞CVE-2021-25742,攻击者可以通过定制化的Snippets特性创建或修改集群中的Ingress实例,从而获取集群中所有的Secret实例信息。本文介绍该漏洞的影响和影响范围,以及防范措施。
CVE-2021-25742漏洞被评估为高危漏洞,在CVSS的评分为7.6。
影响范围
以下枚举的ingress-nginx组件均在该漏洞影响范围内:
- v1.0.0
- ≤v0.49.0
Kubernetes社区在以下版本的ingress-nginx组件中修复了该漏洞:
- v1.0.1
- v0.49.1
关于漏洞的详细信息,请参见CVE-2021-25742。
漏洞影响
当集群运行在多租户场景下,如果存在非管理员用户拥有Ingress实例的创建和修改权限,那么该用户可以通过定制化的Snippets特性获取集群所有Secret实例信息,造成跨租户的越权访问和集群维度的敏感信息泄露。
防范措施
执行以下命令,修改kube-system命名空间下的nginx-configuration。
kubectl edit configmap -nkube-system nginx-configuration在返回结果中设置 allow-snippet-annotations为false:
data:
allow-snippet-annotations: “false”