Kubernetes开源社区中披露了2个nginx-ingress漏洞:
1. 漏洞CVE-2021-25745:用户有权限可以在创建/更新ingress时,利用‘spec.rules[].http.paths[].path’字段,获取到ingress-controller使用的凭证,这个凭证可以获取集群中所有命名空间的密钥。
2. 漏洞CVE-2021-25746:用户有权限可以在创建/更新ingress时,利用‘.metadata.annotations’字段,获取到ingress-controller使用的凭证,这个凭证可以获取集群中所有命名空间的密钥。
CVE-ID
披露/发现时间
1.23及以下版本的CCE集群、CCE Turbo集群中:
1. 客户自行安装nginx-ingress的场景,判断nginx-ingress应用的镜像版本是否小于1.2.0
2. 使用CCE提供的nginx-ingress插件,判断插件版本号是否小于2.1.0
1. 漏洞CVE-2021-25745消减措施:通过实施准入策略,将'networking.k8s.io/Ingress'中的'spec.rules[].http.paths[].path'限制在已知安全字符中(参考社区最新 规则 ,或者采用 annotation-value-word-blocklist 中的建议值)。
2. 漏洞CVE-2021-25746消减措施:通过实施准入策略,将'metadata.annotations'的值限制在已知的安全字符中(参考社区最新 规则 ,或者采用 annotation-value-word-blocklist 中的建议值)。
