Kerentanan CVE-2021-25742 yang baru-baru ini diungkapkan oleh Kubernetes terkait dengan komponen ingress-nginx. Kerentanan ini dapat dimanfaatkan oleh penyerang untuk menggunakan fitur snippets kustom guna membuat atau memodifikasi Ingresses dan mendapatkan semua Secrets dalam kluster. Topik ini menjelaskan dampak, versi ingress-nginx yang terpengaruh, serta perbaikan untuk kerentanan ini.
CVE-2021-25742 dinilai memiliki tingkat keparahan tinggi dengan skor Common Vulnerability Scoring System (CVSS) sebesar 7.6.
Versi ingress-nginx yang Terpengaruh
- v1.0.0
- ingress-nginx 0.49.0 dan sebelumnya
- v1.0.1
- v0.49.1
Untuk informasi lebih lanjut mengenai kerentanan ini, lihat CVE-2021-25742.
Dampak
Jika izin untuk membuat dan memodifikasi Ingresses diberikan kepada pengguna non-administrator dalam kluster multi-penyewa, pengguna tersebut dapat memanfaatkan fitur snippets kustom untuk mendapatkan semua Secrets dalam kluster. Hal ini dapat menyebabkan akses tidak sah ke penyewa lain atau informasi rahasia dalam kluster.
Mitigasi
Jalankan perintah berikut untuk memodifikasi ConfigMap nginx-configuration di namespace kube-system:
kubectl edit configmap -nkube-system nginx-configurationAtur allow-snippet-annotations menjadi false:
data:
allow-snippet-annotations: "false"