[安全公告] CVE-2021-25746:通过注释注入Ingress-nginx指令

半兽人 发表于: 2022-05-03   最后更新时间: 2022-05-03 01:32:38  
{{totalSubscript}} 订阅, 75 游览

问题详情

在ingress-nginx中发现一个安全问题,可以创建或更新ingress对象的用户可以使用Ingress对象中的.metadata.annotations(在networking.k8s.ioextensionsAPI组中)来获取ingress-nginx控制器的凭证。在默认配置中,该凭证可以访问集群中的所有secrets。

该问题已被评为高等级 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L), 并指定了 CVE-2021-25746

受影响的组件和配置

这个错误影响了ingress-nginx。如果你的集群上没有安装ingress-nginx,你就不会受到影响。你可以通过运行kubectl get po -n ingress-nginx来检查。

非管理员用户有权限创建Ingress对象的多租户环境受此问题影响最大。

受影响的版本

  • <v1.2.0

修复的版本

  • v1.2.0-beta.0
  • v1.2.0

缓解

如果你无法升级修复,可以通过实施限制metadata.annotations值为已知安全值的准入策略来缓解这一漏洞(见新增加的规则,或annotation-value-word-blocklist的建议值)。

检测

如果您发现该漏洞已被利用的证据,请联系 security@kubernetes.io

额外细节

有关更多详细信息,请参阅 ingress-nginx 问题 #8503

致谢

此漏洞由 Anthony Weems 和 jeffrey&oliver 分别报告。

更新于 2022-05-03

查看kubernetes更多相关的文章或提一个关于kubernetes的问题,也可以与我们一起分享文章
提问