漏洞CVE-2021-25742

Kubernetes社区公布了安全漏洞CVE-2021-25742,攻击者可以通过定制化的Snippets特性创建或修改集群中的Ingress实例,从而获取集群中所有的Secret实例信息。本文介绍该漏洞的影响和影响范围,以及防范措施。

CVE-2021-25742漏洞被评估为高危漏洞,在CVSS的评分为7.6

影响范围

以下枚举的ingress-nginx组件均在该漏洞影响范围内:

  • v1.0.0
  • ≤v0.49.0
Kubernetes社区在以下版本的ingress-nginx组件中修复了该漏洞:

  • v1.0.1
  • v0.49.1

关于漏洞的详细信息,请参见CVE-2021-25742

漏洞影响

当集群运行在多租户场景下,如果存在非管理员用户拥有Ingress实例的创建和修改权限,那么该用户可以通过定制化的Snippets特性获取集群所有Secret实例信息,造成跨租户的越权访问和集群维度的敏感信息泄露。

防范措施

执行以下命令,修改kube-system命名空间下的nginx-configuration。

 
kubectl edit configmap -nkube-system nginx-configuration

在返回结果中设置 allow-snippet-annotationsfalse:

 
data:
  allow-snippet-annotations: “false”
© 版权声明
THE END
喜欢就支持一下吧!
点赞15 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容