Kubernetes社區公布了安全漏洞CVE-2021-25742,攻擊者可以通過定制化的Snippets特性創建或修改集群中的Ingress實例,從而獲取集群中所有的Secret實例信息。本文介紹該漏洞的影響和影響范圍,以及防范措施。

CVE-2021-25742漏洞被評估為高危漏洞,在CVSS的評分為7.6。

影響范圍

以下枚舉的ingress-nginx組件均在該漏洞影響范圍內:
  • v1.0.0
  • ≤v0.49.0
Kubernetes社區在以下版本的ingress-nginx組件中修復了該漏洞:
  • v1.0.1
  • v0.49.1

關于漏洞的詳細信息,請參見CVE-2021-25742

漏洞影響

當集群運行在多租戶場景下,如果存在非管理員用戶擁有Ingress實例的創建和修改權限,那么該用戶可以通過定制化的Snippets特性獲取集群所有Secret實例信息,造成跨租戶的越權訪問和集群維度的敏感信息泄露。

防范措施

執行以下命令,修改kube-system命名空間下的nginx-configuration。

kubectl edit configmap -nkube-system nginx-configuration

在返回結果中設置 allow-snippet-annotationsfalse: 

data:
  allow-snippet-annotations: “false”