脆弱性CVE-2021-25742は最近Kubernetesによって開示されました。 この脆弱性は、ingress-nginxコンポーネントに関連しています。 この脆弱性は、攻撃者がカスタムスニペット機能を使用してIngressを作成または変更し、クラスター内のすべてのSecretsを取得するために悪用される可能性があります。 このトピックでは、この脆弱性に対する影響、影響を受けるingress-nginxバージョン、および修正について説明します。
CVE-2021-25742は高重症度と評価され、その共通脆弱性スコアリングシステム (CVSS) スコアは7.6である。
影響を受けるingress-nginxバージョン
次のingress-nginxバージョンが影響を受けます。
v1.0.0
ingress-nginx 0.49.0およびそれ以前
この脆弱性は、次のingress-nginxバージョンで修正されています。
v1.0.1
v0.49.1
この脆弱性の詳細については、「CVE-2021-25742」をご参照ください。
影響
マルチテナントクラスターの管理者以外のユーザーにIngressを作成および変更する権限が付与されている場合、ユーザーはカスタムスニペット機能を使用してクラスター内のすべてのSecretsを取得できます。 これにより、クラスター内の他のテナントや秘密情報への不正アクセスが発生する可能性があります。
緩和
次のコマンドを実行して、kube-system名前空間のnginx-configuration ConfigMapを変更します。
kubectl edit configmap -nkube-system nginx-configurationallow-snippet-annotationsをfalseに設定します。
data:
allow-snippet-annotations: "false"